Windows. QoS. Нестандартное использование

Приветствую, уважаемый читатель!

Иногда отсутствие финансовых возможностей заставляет искать нестандартные решения для, казалось бы, простых задач в области ИБ (например, контроль активности пользователей). Результатом таких изысканий может быть контроль ПО с помощью WinEvent Log и визуализация в Splunk - http://unitybas.blogspot.ru/2016/12/windows_8.html , а может маркирование трафика, который уходит в сеть с компьютера пользователя. Про это чуть подробнее. J

Континент-АП. Базовая настройка МЭ.

Приветствую, уважаемый читатель!

Недавно столкнулся с необходимостью настроить межсетевой экран СКЗИ Континент-АП по принципу белого списка. Задача несложная, но есть некоторые особенности применительно к данному программному продукту. Решил поделиться, вдруг кому пригодится и лень долго читать инструкции.

Splunk. PowerShell. Осторожно, "лидирующий ноль".

Приветствую, уважаемый читатель!

  

Хочу поделиться историей о том, как можно при парсинге log-файлов неожиданно недосчитаться большого количества событий из-за нехватки нулей, а формат даты и времени перестает быть просто формальностью, которую SIEM "и так проглотит".   

Splunk. Savedsearch. Оптимизация запросов в БД.

Приветствую, уважаемый читатель!

В рамках рассмотрения вопросов повышения производительности, хотел бы рассказать про возможность оптимизации времени выполнения запросов в Splunk. Интересовать нас будут запросы в БД, идущие через приложение Splunk DB Connect.

SQLite. PowerShell. Получаем историю браузеров.

Приветствую, уважаемый читатель!

Сбор исходной информации во время расследования инцидента это основа основ, особенно, когда не сильно доверяешь словам пользователей. Анализ сетевой активности пользователя на АРМ можно контролировать многими способами: контроль доступа в Интернет через прокси, DLP-решения, IDS-решения и т.д. Но, бывают случаи, когда ничего этого нет, и тогда не помещает изучить истории браузеров на данных АРМ. Об этом и поговорим.

Splunk. Splunk DB Connect. Подключаем MSSQL.

Приветствую, уважаемый читатель!

В этой короткой заметке будет рассказано про подключение к СУБД MSSQL и некоторые новые особенности Splunk DB Connect, которые появились после обновления данного приложения.

Splunk. Подключаем Vulners к Splunk.

Приветствую, уважаемый читатель!

Год назад я писал про получение списка эксплойтов по CVE-номеру уязвимости при помощи vulners.com http://unitybas.blogspot.ru/2016/07/vulners.html. Спустя какое-то время захотелось более плотно интегрировать данную возможность в splunk, и получать информацию с данного ресурса прямо в запрос на SPL.   

Splunk. Post-Process Search. Инициализация токенов.

Приветствую, уважаемый читатель!

Сегодня хочу коснуться темы оптимизации подачи информации на дашборды и заодно рассказать про долгожданное нововведение в работе с токенами, а именно про инициализацию токенов. 

Splunk. Makeresults.

Приветствую, уважаемый читатель!

Эта небольшая заметка будет про оператор SPL – makeresult. У него специфическая функция, он позволяет использовать некоторые операторы SPL (eval, rex) в качестве первого оператора в запросе, а в связке с оператором return применяется для связывания запросов. Казалось бы, зачем? Ответ ниже J

Splunk. Экспорт событий. CLI.

Приветствую, уважаемый читатель!

Относительно недавно я рассказывал, как можно выгрузить события из Splunk с использованием rest API -  http://unitybas.blogspot.ru/2016/08/splunk-rest-api.html . Метод этот удобный, но не единственный в Splunk. О нескольких других методах сегодня и поговорим.

PowerShell. Список входящих/исходящих писем Outlook

Приветствую, уважаемый читатель!

Недавно столкнулся с необходимостью быстро достать список всех отправленных и полученных писем из своего почтового ящика. Доступа к почтовому серверу не было, поэтому доставал письма из загруженного в Outlook профиля. 

WikiLeaks. Несколько мыслей

Приветствую, уважаемый читатель!

Недавно на портале WikiLeaks выложили большое количество хакерских инструментов и методик ЦРУ, с помощью которых, предположительно, они взламывают всё и вся. Дополнительно был выложен список IP-адресов публичных DNS-резолверов, о нём и поговорим.

Splunk. Timechart. Parallel Coordinates

Приветствую, уважаемый читатель!

Хочу продолжить тему визуализации данных в Splunk и рассказать, как можно с использованием SPL-оператора Timechart создавать удобные  и незагруженные графики. Дополнительно рассмотрим визуализацию с использованием модной техники - Parallel Coordinates.

Packettotal. Исследователю на заметку

Приветствую, уважаемый читатель!

Во время расследования инцидентов безопасности могут понадобиться всевозможные инструменты для анализа исходных данных. В качестве исходных данных могут быть дампы трафика, записанные с какого-либо сетевого хоста. Один из инструментов для анализа дампов – сервис www.packettotal.com.

Splunk. Тренды в Single Value

Приветствую, уважаемый читатель!

Продолжая тему визуализации данных в Splunk, хотел бы поделиться опытом настройки новых возможностей визуального элемента «Single Value». Теперь его возможности позволяют создавать весьма полезные дашборды.

PowerShell. Исследуем планировщик задач

Приветствую, уважаемый читатель!

Во время расследования инцидентов безопасности бывает не лишним получить список заданий в планировщике Windows. Есть несколько способов как это можно сделать, в том числе с помощью графических UI,  но мы рассмотрим консольные способы получения заданий.

Splunk. XML Data Input

Приветствую, уважаемый читатель!

В этом посте я хотел бы рассказать про возможности Splunk при работе с XML-файлами. Несмотря на активное использование JSON как формата передачи и хранения данных, XML всё е щё популярен и поддерживается большим количеством решений. В качестве «подопытного» инструмента выступит сканер Nmap.

Maltrail. Враг не пройдёт «бесследно»

Приветствую, уважаемый читатель!

Сегодня я хочу продолжить тему выявления вредоносной и подозрительной активности с помощью различных «чёрных» списков. Применение данного способа совместно с сигнатурными методами бывает совсем не лишним. Поможет нам в этом небольшая IDS Maltrail.