Open ArthurMans opened 11 months ago
ArthurMans
commented
11 months ago Recherche les noms des outils de détection de réseau les plus courants. Sur des réseaux où les admins système utilisent ces outils régulièrement cela se révèle peu efficace mais dans notre cas, aucun admin ne semble avoir essayé.
tidalwaave
commented
11 months ago (index=*
sourcetype="WinEventLog:Microsoft-Windows-Sysmon/Operational"
EventCode=1)
(Image="*tshark.exe"
OR Image="*windump.exe"
OR (Image="*logman.exe"
AND ParentImage!="?"
AND ParentImage!="C:\\Program Files\\Windows Event Reporting\\Core\\EventReporting.AgentService.exe")
OR Image="*tcpdump.exe"
OR Image="*wprui.exe"
OR Image="*wpr.exe")
(index= EventCode=1) (Image="tshark.exe" OR Image="windump.exe" OR (Image="logman.exe" AND ParentImage!="?" AND ParentImage!="C:\Program Files\Windows Event Reporting\Core\EventReporting.AgentService.exe") OR Image="tcpdump.exe" OR Image="wprui.exe" OR Image="*wpr.exe")