evasion_codeinj_odzhan_conhost_sysmon_10_1.evtx

[aw350m33d]



evasion_codeinj_odzhan_conhost_sysmon_10_1.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

• [x] Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
• [x] Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
• [x] Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
• [ ] Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
• [ ] Открой локальную копию своего форка репозитория с правилами в VSCode.
• [ ] Сразу отведи ветку под разработку текущего правила: git checkout -b feature/evasion_codeinj_odzhan_conhost_sysmon_10_1.
• [ ] Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
• [ ] Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер: git add * git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>" git push --set-upstream origin feature/evasion_codeinj_odzhan_conhost_sysmon_10_1
• [ ] Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
• [ ] Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

[Alex1under]

взял таску к себе (пока есть проблема с правами, не могу назначить)

[aw350m33d]

Готово) Приглашение в оповещениях должно быть))