Closed d3f0x0 closed 4 months ago
Добавлены два макроса:
Network_connections_windows - события сетевых соединений на основе Sysmon EventID = 3 и Security EventID = 5156
Network_connections_windows_not_lan - для фильтрации сетевых соединений к адресам не входящим в сети:
in_subnet(dst.ip, "172.16.0.0/12") in_subnet(dst.ip, "192.168.0.0/16") in_subnet(dst.ip, "169.254.0.0/16") in_subnet(dst.ip, "127.0.0.0/8") in_subnet(dst.ip, "100.64.0.0/10")
Правило корреляции для обнаружения загрузки модуля powershell в пямять и дампа lsass
Resolve #51
Добавлены два макроса:
Network_connections_windows - события сетевых соединений на основе Sysmon EventID = 3 и Security EventID = 5156
Network_connections_windows_not_lan - для фильтрации сетевых соединений к адресам не входящим в сети:
Правило корреляции для обнаружения загрузки модуля powershell в пямять и дампа lsass
Resolve #51