Notes

Last updated 2 months ago

Тут переписать, больше должен быть раздел типовых плейбуков, куда можно обратиться за информацией

Например разбор цепочек процессов

5.1. Методология расследования
- Как подходить к расследованию инцидентов.
- Основные этапы: сбор данных, анализ, заключение.
- Playbooks, какие-то OpenSource
5.2. Инструменты для расследования
- Анализ сетевого трафика (Wireshark, Zeek).
- Анализ памяти (Volatility).
- Анализ дисков (FTK, Autopsy).
5.3. Примеры кейсов
- Примеры реальных инцидентов и их разбор.

Этот раздел станет ядром сайта. Он будет разбит на подразделы по типам систем и атак.

2.1. Windows

2.1.1. 10 способов закрепиться в Windows и как это обнаружить
- Использование утилит вроде PsExec, WMI, PowerShell.
- Анализ логов (Event ID 4624, 4688, 4672 и др.).
2.1.2. Обнаружение атак через SMB
- Примеры атак (EternalBlue, Pass-the-Hash).
- Анализ сетевого трафика и логов.
2.1.4. Обнаружение подозрительной активности PowerShell
- Примеры скриптов для атак.
- Анализ логов PowerShell.

2.2. Unix/Linux

2.2.1. Атаки через SSH
- Brute Force, использование слабых ключей.
- Анализ логов (/var/log/auth.log).
2.2.2. Обнаружение подозрительных процессов
- Примеры атак через cron, systemd.
- Анализ процессов и логов.
2.2.3. Атаки на веб-серверы (Apache, Nginx)
- Примеры эксплойтов.
- Анализ логов доступа и ошибок.

2.3. Сетевые атаки

2.3.1. Обнаружение DDoS-атак
- Анализ сетевого трафика (Wireshark, Zeek).
2.3.2. Атаки на DNS
- DNS tunneling, спуфинг.
- Анализ DNS-логов.
2.3.3. Обнаружение подозрительного сетевого трафика
- Примеры аномалий (порты, протоколы, IP-адреса).

2.4. Атаки на облачные среды

2.4.1. AWS
- Примеры атак (утечки S3-бакетов, компрометация IAM).
- Анализ CloudTrail логов.
2.4.2. Azure
- Примеры атак (поддельные приложения, компрометация учетных записей).
- Анализ логов Azure Monitor.