Поиск
Закладки
Озвучивание недоступно Озвучить книгу
Изменить режим чтения
Изменить размер шрифта
Оглавление
Для озвучивания и цитирования книги перейдите в режим постраничного просмотра.
Реагирование на компьютерные инциденты. Прикладной курс

Часть II. РЕАГИРОВАНИЕ НА КИБЕРИНЦИДЕНТЫ

Предыдущая страница

Следующая страница

Часть II. РЕАГИРОВАНИЕ НА КИБЕРИНЦИДЕНТЫ
На предыдущую главу Предыдущая глава
оглавление
Следующая глава На следующую главу

Table of contents

Часть II. РЕАГИРОВАНИЕ НА КИБЕРИНЦИДЕНТЫ-
Глава 3. Удаленная сортировка
В поисках зла
Нестандартные подключения
Необычные процессы
Необычные порты
Необычные службы
Подозрительные учетные записи
Необычные файлы
Места автозапуска
Охрана учетных данных
Разбираемся с интерактивными входами в систему
Меры предосторожности при работе с инцидентом ИБ
Режим Restricted Admin для протокола удаленного рабочего стола и Remote Credential Guard
Заключение
Глава 4. Инструменты удаленной сортировки
Windows Management Instrumentation
Синтаксис WMI и WMIC
Правильные подходы с точки зрения компьютерной криминалистики
Элементы WMIC и WQL
Примеры команд WMIC
PowerShell
Основные командлеты PowerShell
PowerShell Remoting
Доступ к WMI/MI/CIM с помощью PowerShell
Фреймворки, используемые при реагировании на инциденты
Заключение
Глава 5. Создание дампа памяти
Порядок сбора улик
Сбор данных, хранящихся в памяти локальной системы
Подготовка носителя
Процесс сбора данных
Сбор данных, хранящихся в памяти удаленной системы
WMIC для сбора данных из удаленной системы
PowerShell Remoting для сбора данных, хранящихся в памяти удаленной системы
Агенты для удаленного сбора данных
Анализ памяти в реальном времени
Анализ памяти локальной системы в реальном времени
Анализ памяти удаленной системы в реальном времени
Заключение
Глава 6. Создание образа диска
Защита целостности улик
Создание образа по типу dead-box
Использование аппаратного блокиратора записи
Использование загрузочного дистрибутива Linux
Создание образа во время работы системы
Создание образа во время работы локальной системы
Создание образа во время работы системы удаленно
Создание образа виртуальной машины
Заключение
Глава 7. Мониторинг сетевой безопасности
Security Onion
Архитектура
Инструменты
Анализ текстового журнала
Заключение
Глава 8. Анализ журнала событий
Журналы событий
События, связанные с учетной записью
Доступ к объекту
Аудит изменений конфигурации системы
Аудит процессов
Аудит использования PowerShell
Использование PowerShell для запроса журналов событий
Заключение
Глава 9. Анализ памяти
Важность базовых показателей
Источники данных памяти
Использование Volatility и Rekall
Изучение процессов
Плагин pslist
Плагин pstree
Плагин dlllist
Плагин psxview
Плагин handles
Плагин malfind
Изучение служб Windows
Изучение сетевой активности
Обнаружение аномалий
Все дело в практике
Заключение
Глава 10. Анализ вредоносных программ
Аналитические онлайн-сервисы
Статический анализ
Динамический анализ
Ручной динамический анализ
Автоматизированный анализ вредоносных программ
Уклоняемся от обнаружения
Реверс-инжиниринг
Заключение
Глава 11. Извлечение информации с образа жесткого диска
Инструменты компьютерной криминалистики
Анализ временных меток
Файлы ссылок и списки переходов
Папка Prefetch
Монитор использования системных ресурсов
Анализ реестра
Активность браузера
Журнал USN
Теневые копии томов
Автоматическая сортировка
Артефакты Linux/UNIX
Заключение
Глава 12. Анализ дальнейшего распространения по сети
Server Message Block
Атаки pass-the-hash
Атаки на Kerberos
Атаки pass-the-ticket и overpass-the-hash
Золотые и серебряные мандаты
Kerberoasting
PsExec
Запланированные задания
Команда sc
Протокол удаленного рабочего стола
Windows Management Instrumentation
Windows Remote Management
PowerShell Remoting
SSH-туннели и другие способы дальнейшего распространения по сети
Заключение
Данный блок поддерживает скрол*