среда, 20 декабря 2017 г.

Windows. QoS. Нестандартное использование

Приветствую, уважаемый читатель!

Иногда отсутствие финансовых возможностей заставляет искать нестандартные решения для, казалось бы, простых задач в области ИБ (например, контроль активности пользователей). Результатом таких изысканий может быть контроль ПО с помощью WinEvent Log и визуализация в Splunk - http://unitybas.blogspot.ru/2016/12/windows_8.html , а может маркирование трафика, который уходит в сеть с компьютера пользователя. Про это чуть подробнее. J


четверг, 23 ноября 2017 г.

Континент-АП. Базовая настройка МЭ.

Приветствую, уважаемый читатель!

Недавно столкнулся с необходимостью настроить межсетевой экран СКЗИ Континент-АП по принципу белого списка. Задача несложная, но есть некоторые особенности применительно к данному программному продукту. Решил поделиться, вдруг кому пригодится и лень долго читать инструкции.


пятница, 13 октября 2017 г.

Splunk. PowerShell. Осторожно, "лидирующий ноль".

Приветствую, уважаемый читатель!
  
Хочу поделиться историей о том, как можно при парсинге log-файлов неожиданно недосчитаться большого количества событий из-за нехватки нулей, а формат даты и времени перестает быть просто формальностью, которую SIEM "и так проглотит".   


понедельник, 18 сентября 2017 г.

Splunk. Savedsearch. Оптимизация запросов в БД.

Приветствую, уважаемый читатель!

В рамках рассмотрения вопросов повышения производительности, хотел бы рассказать про возможность оптимизации времени выполнения запросов в Splunk. Интересовать нас будут запросы в БД, идущие через приложение Splunk DB Connect.


среда, 23 августа 2017 г.

SQLite. PowerShell. Получаем историю браузеров.

Приветствую, уважаемый читатель!

Сбор исходной информации во время расследования инцидента это основа основ, особенно, когда не сильно доверяешь словам пользователей. Анализ сетевой активности пользователя на АРМ можно контролировать многими способами: контроль доступа в Интернет через прокси, DLP-решения, IDS-решения и т.д. Но, бывают случаи, когда ничего этого нет, и тогда не помещает изучить истории браузеров на данных АРМ. Об этом и поговорим.


среда, 9 августа 2017 г.

Splunk. Splunk DB Connect. Подключаем MSSQL.

Приветствую, уважаемый читатель!

В этой короткой заметке будет рассказано про подключение к СУБД MSSQL и некоторые новые особенности Splunk DB Connect, которые появились после обновления данного приложения.


понедельник, 31 июля 2017 г.

Splunk. Подключаем Vulners к Splunk.

Приветствую, уважаемый читатель!

Год назад я писал про получение списка эксплойтов по CVE-номеру уязвимости при помощи vulners.com http://unitybas.blogspot.ru/2016/07/vulners.html. Спустя какое-то время захотелось более плотно интегрировать данную возможность в splunk, и получать информацию с данного ресурса прямо в запрос на SPL.   



вторник, 13 июня 2017 г.

Splunk. Post-Process Search. Инициализация токенов.

Приветствую, уважаемый читатель!

Сегодня хочу коснуться темы оптимизации подачи информации на дашборды и заодно рассказать про долгожданное нововведение в работе с токенами, а именно про инициализацию токенов. 



среда, 26 апреля 2017 г.

Splunk. Makeresults.

Приветствую, уважаемый читатель!

Эта небольшая заметка будет про оператор SPL makeresult. У него специфическая функция, он позволяет использовать некоторые операторы SPL (eval, rex) в качестве первого оператора в запросе, а в связке с оператором return применяется для связывания запросов. Казалось бы, зачем? Ответ ниже J


среда, 19 апреля 2017 г.

Splunk. Экспорт событий. CLI.

Приветствую, уважаемый читатель!

Относительно недавно я рассказывал, как можно выгрузить события из Splunk с использованием rest APIhttp://unitybas.blogspot.ru/2016/08/splunk-rest-api.html . Метод этот удобный, но не единственный в Splunk. О нескольких других методах сегодня и поговорим.


вторник, 4 апреля 2017 г.

PowerShell. Список входящих/исходящих писем Outlook

Приветствую, уважаемый читатель!

Недавно столкнулся с необходимостью быстро достать список всех отправленных и полученных писем из своего почтового ящика. Доступа к почтовому серверу не было, поэтому доставал письма из загруженного в Outlook профиля. 

пятница, 17 марта 2017 г.

WikiLeaks. Несколько мыслей

Приветствую, уважаемый читатель!

Недавно на портале WikiLeaks выложили большое количество хакерских инструментов и методик ЦРУ, с помощью которых, предположительно, они взламывают всё и вся. Дополнительно был выложен список IP-адресов публичных DNS-резолверов, о нём и поговорим.


понедельник, 6 марта 2017 г.

Splunk. Timechart. Parallel Coordinates

Приветствую, уважаемый читатель!

Хочу продолжить тему визуализации данных в Splunk и рассказать, как можно с использованием SPL-оператора Timechart создавать удобные  и незагруженные графики. Дополнительно рассмотрим визуализацию с использованием модной техники - Parallel Coordinates.


среда, 1 марта 2017 г.

Packettotal. Исследователю на заметку

Приветствую, уважаемый читатель!

Во время расследования инцидентов безопасности могут понадобиться всевозможные инструменты для анализа исходных данных. В качестве исходных данных могут быть дампы трафика, записанные с какого-либо сетевого хоста. Один из инструментов для анализа дампов – сервис www.packettotal.com.




вторник, 21 февраля 2017 г.

Splunk. Тренды в Single Value

Приветствую, уважаемый читатель!


Продолжая тему визуализации данных в Splunk, хотел бы поделиться опытом настройки новых возможностей визуального элемента «Single Value». Теперь его возможности позволяют создавать весьма полезные дашборды.


пятница, 10 февраля 2017 г.

PowerShell. Исследуем планировщик задач

Приветствую, уважаемый читатель!

Во время расследования инцидентов безопасности бывает не лишним получить список заданий в планировщике Windows. Есть несколько способов как это можно сделать, в том числе с помощью графических UI,  но мы рассмотрим консольные способы получения заданий.

вторник, 7 февраля 2017 г.

Splunk. XML Data Input

Приветствую, уважаемый читатель!

В этом посте я хотел бы рассказать про возможности Splunk при работе с XML-файлами. Несмотря на активное использование JSON как формата передачи и хранения данных, XML всё е щё популярен и поддерживается большим количеством решений. В качестве «подопытного» инструмента выступит сканер Nmap.


четверг, 19 января 2017 г.

Maltrail. Враг не пройдёт «бесследно»

Приветствую, уважаемый читатель!

Сегодня я хочу продолжить тему выявления вредоносной и подозрительной активности с помощью различных «чёрных» списков. Применение данного способа совместно с сигнатурными методами бывает совсем не лишним. Поможет нам в этом небольшая IDS Maltrail.