I
Size: a a a
2021 March 24
EP
Ну да. Потому факт подключения откуда куда будет полезен. А вот дамп трафика бесполезен в обоих случаях
я к тому что чтобы восстановить последовательность действий вот так из трафа нужно либо нереальный движок по парсингу иметь либо дампить все подряд
это WMI стрим в DCERPC
это WMI стрим в DCERPC
EP
Я не про wmi а про подключение по известному только злоумышленнику протоколу
здесь если трафик шифрован, то разницы хранится он или нет не вижу
но если просто кастомный порт протокол и нет хитрого шифрования - вполне себе для расследования
но если просто кастомный порт протокол и нет хитрого шифрования - вполне себе для расследования
I
здесь если трафик шифрован, то разницы хранится он или нет не вижу
но если просто кастомный порт протокол и нет хитрого шифрования - вполне себе для расследования
но если просто кастомный порт протокол и нет хитрого шифрования - вполне себе для расследования
Ну вот да. Только щас к сожалению (или счатью) все шифруют
EP
А зачем это решение если и без него с дампом всего трафика смирорриным с ngfw вытащить оттуда трафик интересующего меня таймслота по записи на ngfw о доступе и так не проблема
потому что есть процесс именуемый Threat Hunting, для обеспечения которого необходимо постоянно вытаскивать сырые данные. будь то логи с хостов или трафик
а это часть процесса мониторинга
удобнее хантить угрозы в чем-то отдельном, что и трафик подаст и покажет аномалии и салертит на что-то критичное и где есть ioc-и, фиды
а это часть процесса мониторинга
удобнее хантить угрозы в чем-то отдельном, что и трафик подаст и покажет аномалии и салертит на что-то критичное и где есть ioc-и, фиды
I
потому что есть процесс именуемый Threat Hunting, для обеспечения которого необходимо постоянно вытаскивать сырые данные. будь то логи с хостов или трафик
а это часть процесса мониторинга
удобнее хантить угрозы в чем-то отдельном, что и трафик подаст и покажет аномалии и салертит на что-то критичное и где есть ioc-и, фиды
а это часть процесса мониторинга
удобнее хантить угрозы в чем-то отдельном, что и трафик подаст и покажет аномалии и салертит на что-то критичное и где есть ioc-и, фиды
Либо эти ребята знают что-то чего не знаю я и мне надо срочно бежать покупать их акции, либо они мягко говоря приверают. Кластер из серваков от обычных логов и поиска по ним плейнтекста загибается это уже проблема классик. А тут вообще весь трафик да еще и сигнатура да еще и машин лернинг
EP
Либо эти ребята знают что-то чего не знаю я и мне надо срочно бежать покупать их акции, либо они мягко говоря приверают. Кластер из серваков от обычных логов и поиска по ним плейнтекста загибается это уже проблема классик. А тут вообще весь трафик да еще и сигнатура да еще и машин лернинг
просто в таких решениях как правило есть нюансы, которые можно потом как-нибудь обсудить, смогу накидать примеров, а то мы тут диалогом чат захатили))
но даже с этими нюансами покрывается 80+% случаев
но даже с этими нюансами покрывается 80+% случаев
I
просто в таких решениях как правило есть нюансы, которые можно потом как-нибудь обсудить, смогу накидать примеров, а то мы тут диалогом чат захатили))
но даже с этими нюансами покрывается 80+% случаев
но даже с этими нюансами покрывается 80+% случаев
Ну давай если не жалко)
IJ
Приветы, есть у кого образы huawei Ce6800 для ENSP? любые другие тоже будут интереснв
F
Приветы, есть у кого образы huawei Ce6800 для ENSP? любые другие тоже будут интереснв
IJ
благодарю
F
благодарю
я вот CE скачал, а там
# qemu-img info CE.img
image: CE.img
file format: vdi
virtual size: 8 GiB (8589934592 bytes)
disk size: 1.27 GiB
cluster_size: 1048576
F
и какой-то debian загрузился там o_O
ВМ
Приветы, есть у кого образы huawei Ce6800 для ENSP? любые другие тоже будут интереснв
А в eve-ng получится запустить?
IJ
А в eve-ng получится запустить?
а зачем, если есть ensp?
R
У меня не заработала эта версия 😩