Open ArthurMans opened 6 months ago
ArthurMans
commented
6 months ago Recherche les noms des outils de détection de réseau les plus courants. Sur des réseaux où les admins système utilisent ces outils régulièrement cela se révèle peu efficace mais dans notre cas, aucun admin ne semble avoir essayé.
tidalwaave
commented
6 months ago (index=*
sourcetype="WinEventLog:Microsoft-Windows-Sysmon/Operational"
EventCode=1)
(Image="*tshark.exe"
OR Image="*windump.exe"
OR (Image="*logman.exe"
AND ParentImage!="?"
AND ParentImage!="C:\\Program Files\\Windows Event Reporting\\Core\\EventReporting.AgentService.exe")
OR Image="*tcpdump.exe"
OR Image="*wprui.exe"
OR Image="*wpr.exe")
(index= EventCode=1) (Image="tshark.exe" OR Image="windump.exe" OR (Image="logman.exe" AND ParentImage!="?" AND ParentImage!="C:\Program Files\Windows Event Reporting\Core\EventReporting.AgentService.exe") OR Image="tcpdump.exe" OR Image="wprui.exe" OR Image="*wpr.exe")