MetaDefender Cloud
[ metadefender.opswat.com ]
Облачный антивирусный сканер ( и не только) для:
- файлов
- ссылок
- доменов
- хешей
- ip адресов
Кроме сканирования на угрозы может вытаскивать метаданные и перечень запрашиваемых разрешений.
[ metadefender.opswat.com ]
Облачный антивирусный сканер ( и не только) для:
- файлов
- ссылок
- доменов
- хешей
- ip адресов
Кроме сканирования на угрозы может вытаскивать метаданные и перечень запрашиваемых разрешений.
👍13❤2
Откопал я тут в одном своем стареньком блоге от аж 2011 года, собственные наброски статьи по выявлению подделок в бумажных документах... Вдруг кому будет полезно...
При подделки бумажных документов чаще всего используются следующие способы:
1. Если документ на бумажном носителе и состоит из нескольких листов, проверьте его на несоответствие или замену листов. В данном случае подделку легко определить по несовпадению серии и номера на последующих страницах. Такой способ подделки документов актуален для паспортов и трудовых книжек. Случается так, что бланк паспорта настоящий, а печать и штамп о регистрации – поддельные. Только профессионалу под силу распознать подделку.
2. Типичные признаки следующего способа фальсификации документов – переклейка, замена фотографии – такие: выдавленные буквы на паспорте, фотография, отклеившаяся по краям, размытая печать, наслаивающиеся друг на друга буквы. Если вы заметили неладное, скорее всего, в данном случае была произведена замена фотографии; монтаж с сохранением части фотографии, содержащей оттиск печати; перенос на подложку одной фотографии части эмульсионного слоя другой и т.д.
3. Дописывание сведений, так же является достаточно распостраненным явлением. Новая информация вписывается на свободные места в документе. Если внимательно присмотреться, можно заметить несоответствие почерка, цвета чернил, потертости, несостыковки границ текста.
4. Следующий способ – подделка регистрации. Обратите внимание на нечеткость штампа регистрации, несоответствие адреса регистрации гражданина и территории, на которой производит регистрацию государственный орган.
5. Подделка бланков – также один из способов фальсификации документов. Необходимо обращать внимание на размеры и формат документа, особенности скрепления листов (например, скрепка или нитка, если речь идет о сброшюрованных документах), плотность бумаги, обложку (материал, используемый при ее изготовлении) и т. п. Кроме того, следует смотреть на формы, размеры шрифтов, расположение текста на бланке (расстояние от краев листа, других надписей и т. п.). Самое главное – проверка всех элементов системы защиты; к ним относятся индивидуальные особенности партии бланков личных документов. Обычно бланки печатаются либо отдельным тиражом, либо, если речь идет о нескольких партиях, с соблюдением единого набора систем защиты, единообразного макета.
6. Подделка штампа, печати производится посредством рисования на самом документе, с помощью самодельного клише или путем копирования подлинного оттиска на поддельный документ. Рассмотрев печать через десятикратное увеличительное стекло, вы сможете понять, была ли отсканирована печать. Если изображение сформировано не штемпельной краской, а состоит из множества мелких точек желтого, красного (пурпурного – самый главный признак) и голубого цвета, это явная подделка. По неоднородности цвета выявляется подделка печатей со сложным рисунком. В добавление к сказанному – распечатанный оттиск выглядит на всех документах одинаково, в то время как оттиски, проставленные с помощью клише печати, имеют видимые отличия. Это легко заметить особенно в тех случаях, когда комплект документов заверен одной печатью.
Настоящий бланк не должен отличаться высокой четкостью и детальностью изображения, фоновой сетки, печатей и штампов.
Настоящая печать не имеет идеально ровных краев, обязательно есть расплывчатости, непропечатанности, яркость цвета неравномерна, а оттенок цвета один и тот же, т. е. если печать синяя, то она не должна содержать каких-либо других оттенков. На рисунках, участках штрихов печатей не должно быть ступенчатости и отдельных точек (пикселей). Буквы должны иметь вдавленности, образующиеся от типографской печати и от проставления штампов. Изображения должны быть стойкими и не размазываться при смачивании водным раствором спирта или дихлорэтаном.
Ну и поскольку канал наш про инструментарий, вот вам приложение для макросъёмки/увеличения с разными интересными дополнительными функциями.
[ https://play.google.com/store/apps/details?id=com.hantor.CozyMag ]
При подделки бумажных документов чаще всего используются следующие способы:
1. Если документ на бумажном носителе и состоит из нескольких листов, проверьте его на несоответствие или замену листов. В данном случае подделку легко определить по несовпадению серии и номера на последующих страницах. Такой способ подделки документов актуален для паспортов и трудовых книжек. Случается так, что бланк паспорта настоящий, а печать и штамп о регистрации – поддельные. Только профессионалу под силу распознать подделку.
2. Типичные признаки следующего способа фальсификации документов – переклейка, замена фотографии – такие: выдавленные буквы на паспорте, фотография, отклеившаяся по краям, размытая печать, наслаивающиеся друг на друга буквы. Если вы заметили неладное, скорее всего, в данном случае была произведена замена фотографии; монтаж с сохранением части фотографии, содержащей оттиск печати; перенос на подложку одной фотографии части эмульсионного слоя другой и т.д.
3. Дописывание сведений, так же является достаточно распостраненным явлением. Новая информация вписывается на свободные места в документе. Если внимательно присмотреться, можно заметить несоответствие почерка, цвета чернил, потертости, несостыковки границ текста.
4. Следующий способ – подделка регистрации. Обратите внимание на нечеткость штампа регистрации, несоответствие адреса регистрации гражданина и территории, на которой производит регистрацию государственный орган.
5. Подделка бланков – также один из способов фальсификации документов. Необходимо обращать внимание на размеры и формат документа, особенности скрепления листов (например, скрепка или нитка, если речь идет о сброшюрованных документах), плотность бумаги, обложку (материал, используемый при ее изготовлении) и т. п. Кроме того, следует смотреть на формы, размеры шрифтов, расположение текста на бланке (расстояние от краев листа, других надписей и т. п.). Самое главное – проверка всех элементов системы защиты; к ним относятся индивидуальные особенности партии бланков личных документов. Обычно бланки печатаются либо отдельным тиражом, либо, если речь идет о нескольких партиях, с соблюдением единого набора систем защиты, единообразного макета.
6. Подделка штампа, печати производится посредством рисования на самом документе, с помощью самодельного клише или путем копирования подлинного оттиска на поддельный документ. Рассмотрев печать через десятикратное увеличительное стекло, вы сможете понять, была ли отсканирована печать. Если изображение сформировано не штемпельной краской, а состоит из множества мелких точек желтого, красного (пурпурного – самый главный признак) и голубого цвета, это явная подделка. По неоднородности цвета выявляется подделка печатей со сложным рисунком. В добавление к сказанному – распечатанный оттиск выглядит на всех документах одинаково, в то время как оттиски, проставленные с помощью клише печати, имеют видимые отличия. Это легко заметить особенно в тех случаях, когда комплект документов заверен одной печатью.
Настоящий бланк не должен отличаться высокой четкостью и детальностью изображения, фоновой сетки, печатей и штампов.
Настоящая печать не имеет идеально ровных краев, обязательно есть расплывчатости, непропечатанности, яркость цвета неравномерна, а оттенок цвета один и тот же, т. е. если печать синяя, то она не должна содержать каких-либо других оттенков. На рисунках, участках штрихов печатей не должно быть ступенчатости и отдельных точек (пикселей). Буквы должны иметь вдавленности, образующиеся от типографской печати и от проставления штампов. Изображения должны быть стойкими и не размазываться при смачивании водным раствором спирта или дихлорэтаном.
Ну и поскольку канал наш про инструментарий, вот вам приложение для макросъёмки/увеличения с разными интересными дополнительными функциями.
[ https://play.google.com/store/apps/details?id=com.hantor.CozyMag ]
Google Play
Magnifier & Microscope [Cozy] - Apps on Google Play
Good magnifier app to see tiny things bigger and more clearly!
👍18🤔5😁1
Forwarded from Интернет-Розыск
Произошло обновление инструмента https://iplogger.ru/. Дизайн стал поприятнее. Прибавилось несколько улучшений.
👍5
Containerise
[ github.com/kintesh/containerise ]
Расширение для FireFox автоматически контейнеризирующий открываемые сайты.
Ну вы поняли - и чтоб фингирпринт родной не отдавать, и не подцепить ченить неприятного.
[ github.com/kintesh/containerise ]
Расширение для FireFox автоматически контейнеризирующий открываемые сайты.
Ну вы поняли - и чтоб фингирпринт родной не отдавать, и не подцепить ченить неприятного.
GitHub
GitHub - kintesh/containerise: Firefox extension to automatically open websites in a container
Firefox extension to automatically open websites in a container - kintesh/containerise
👍15😁1
MOSINT
[ github.com/alpkeskin/mosint ]
Отличный осинт инструмент для исследования электронной почты
Возможности:
[ github.com/alpkeskin/mosint ]
Отличный осинт инструмент для исследования электронной почты
Возможности:
• Валидация электронной почты • Проверка привязки к социальным сетям используя Socialscan, Holehe • Поиск по базам утечек • Поиск почтовых аккаунтов по доменам • Сканирование дампов Pastebin и Throwbin • Google поиск • DNS Lookup • IP LookupGitHub
GitHub - alpkeskin/mosint: An automated e-mail OSINT tool
An automated e-mail OSINT tool. Contribute to alpkeskin/mosint development by creating an account on GitHub.
👍13
Forwarded from GitHub Community
snscrape – простой скрапер, который позволяет собирать много информации из различных источников
В настоящее время поддерживаются следующие сервисы:
□ Facebook: профили пользователей, группы и сообщества (также известные как сообщения посетителей)
□ Instagram: профили пользователей, хэштеги и местоположения
□️ Mastodon: профили пользователей и toots (один или нитки)
□️ Reddit: пользователи, сабреддиты и поиски (через Pushshift)
□ Telegram: каналы
□️ Twitter: пользователи, профили пользователей, хэштеги, поиск, твиты, сообщения в списке и тенденции
□️ ВКонтакте: профили пользователей
□️ Weibo (Sina Weibo): профили пользователей
GitHub | #Python #Osint #Scraper #Privacy #Interesting
В настоящее время поддерживаются следующие сервисы:
□ Facebook: профили пользователей, группы и сообщества (также известные как сообщения посетителей)
□ Instagram: профили пользователей, хэштеги и местоположения
□️ Mastodon: профили пользователей и toots (один или нитки)
□️ Reddit: пользователи, сабреддиты и поиски (через Pushshift)
□ Telegram: каналы
□️ Twitter: пользователи, профили пользователей, хэштеги, поиск, твиты, сообщения в списке и тенденции
□️ ВКонтакте: профили пользователей
□️ Weibo (Sina Weibo): профили пользователей
GitHub | #Python #Osint #Scraper #Privacy #Interesting
Forwarded from Хабр
OSINT самолётов, пароходов и поездов
Timeweb Cloud предлагает вашему вниманию набор инструментов от мировых профессионалов в области OSINT, которые помогут в ваших поисках информации, связанных с транспортом. Если вы решили заняться автостопом, авиастопом или хотите поймать попутный грузовой корабль, то эти сервисы для вас. Если вам срочно понадобилось отследить самолет Илона Маска или просто послушать переговоры диспетчеров, то тоже найдёте тут много полезного.
Timeweb Cloud предлагает вашему вниманию набор инструментов от мировых профессионалов в области OSINT, которые помогут в ваших поисках информации, связанных с транспортом. Если вы решили заняться автостопом, авиастопом или хотите поймать попутный грузовой корабль, то эти сервисы для вас. Если вам срочно понадобилось отследить самолет Илона Маска или просто послушать переговоры диспетчеров, то тоже найдёте тут много полезного.
👍10
Forwarded from BeholderIsHere Media HUB (Beholder Is Here)
Еще в 2020, я писал про этот интересный проект [ t.me/forensictools/47 ] позволяющий по звуку клавиатуры распознать нажатые клавиши. Тогда это было похоже на интересный эусперемент, но авто не ковырялся пальцем в носу а всячески работал дальше над этим проектом. И вот уже спустя 2 года, проект дожил до своей третьей версии с очень наглядной демонстрацией [ keytap3.ggerganov.com ]
Потенциал подобного я думаю не надо для вас разьеснять :)
Потенциал подобного я думаю не надо для вас разьеснять :)
👍11👎2
mac_apt
[https://github.com/ydkhatri/mac_apt]
это инструмент криминалистики для парсинга образов дисков компьютеров с macOS. Извлекает данные, полезные для расследования. Построен на основе python, соответственно имеет плагины для обработки отдельных артефактов (таких как история браузера Safari, сетевые интерфейсы, недавно доступные файлы и тома и т.д.).
• Кросс-платформенный (без зависимости от pyobjc)
• Работает с E01, VMDK, AFF4, DD, split-DD, DMG (без сжатия), SPARSEIMAGE и монтированными образами
• Экспорт в XLSX, CSV, TSV, Sqlite
• Проанализированные файлы / артефакты экспортируются для последующего просмотра
• Поддерживаются сжатые файлы zlib, lzvn, lzfse
• Собственный парсер HFS & APFS
• Также включает ios_apt для обработки образов ios.
[https://github.com/ydkhatri/mac_apt]
это инструмент криминалистики для парсинга образов дисков компьютеров с macOS. Извлекает данные, полезные для расследования. Построен на основе python, соответственно имеет плагины для обработки отдельных артефактов (таких как история браузера Safari, сетевые интерфейсы, недавно доступные файлы и тома и т.д.).
• Кросс-платформенный (без зависимости от pyobjc)
• Работает с E01, VMDK, AFF4, DD, split-DD, DMG (без сжатия), SPARSEIMAGE и монтированными образами
• Экспорт в XLSX, CSV, TSV, Sqlite
• Проанализированные файлы / артефакты экспортируются для последующего просмотра
• Поддерживаются сжатые файлы zlib, lzvn, lzfse
• Собственный парсер HFS & APFS
• Также включает ios_apt для обработки образов ios.
🔥7👍2
Forwarded from Kir Jetty
Hello there! We are happy to announce an infosec meet-up series hosted by Exness! Hands-on experience, industry leading professionals, tough topics and a bit of serious fun!
Register here
Talks
What we did wrong while making Flipper Zero. Behind the scene stories of hardware development challenges and failures.\
*by Pavel Zhovner*
Hidden Threats of Technological Enhancements. Three unexpected cases when slight modifications violated protectiveness.\
*by Dmitry Sklyarov*
Corporate Cryptocurrency Wallet Management. What do you need to know to securely manage and operate your cryptos.\
*by Valery Tyukhmenev*
eBPF — the hidden linux superpower. Let’s talk about the state of the Linux kernel, it’s security, profiling mechanisms and use cases.\
*by Alexander Sungurov*
Challenges
Mind getting yourself a Flipper Zero? Well, we have a few to share. 2 challenges will be waiting! Don't forget your laptop 😉
Register here
Talks
What we did wrong while making Flipper Zero. Behind the scene stories of hardware development challenges and failures.\
*by Pavel Zhovner*
Hidden Threats of Technological Enhancements. Three unexpected cases when slight modifications violated protectiveness.\
*by Dmitry Sklyarov*
Corporate Cryptocurrency Wallet Management. What do you need to know to securely manage and operate your cryptos.\
*by Valery Tyukhmenev*
eBPF — the hidden linux superpower. Let’s talk about the state of the Linux kernel, it’s security, profiling mechanisms and use cases.\
*by Alexander Sungurov*
Challenges
Mind getting yourself a Flipper Zero? Well, we have a few to share. 2 challenges will be waiting! Don't forget your laptop 😉
👍7
ma2tl
[https://github.com/mnrkbys/ma2tl]
инструмент для создания таймлайна активности операционных систем macOS из результатов mac_apt. Извлекает историю действий по загрузке файлов, выполнению программ, монтированию томов.
[https://github.com/mnrkbys/ma2tl]
инструмент для создания таймлайна активности операционных систем macOS из результатов mac_apt. Извлекает историю действий по загрузке файлов, выполнению программ, монтированию томов.
GitHub
GitHub - mnrkbys/ma2tl: macOS forensic timeline generator using the analysis result DBs of mac_apt
macOS forensic timeline generator using the analysis result DBs of mac_apt - mnrkbys/ma2tl
👍5
XELFViewer
[https://github.com/horsicq/XELFViewer]
кроссплатформенное приложение, предназначенное для анализа ELF-файлов. ELF, Executable and Linkable Format (формат исполняемых и связываемых файлов) - формат файла, который определяет структуру бинарных файлов, библиотек, и файлов ядра. Спецификация формата позволяет операционной системе корректно интерпретировать содержащиеся в файле машинные команды. Если в мире Windows исполняемые файлы представлены в формате Portable Executable (PE), то в Linux эта роль отведена файлам ELF. ELF-файлы интересуют исследователя с точки зрения анализа зловредов, ведь злоумышленники зачастую используют как раз этот формат.
[https://github.com/horsicq/XELFViewer]
кроссплатформенное приложение, предназначенное для анализа ELF-файлов. ELF, Executable and Linkable Format (формат исполняемых и связываемых файлов) - формат файла, который определяет структуру бинарных файлов, библиотек, и файлов ядра. Спецификация формата позволяет операционной системе корректно интерпретировать содержащиеся в файле машинные команды. Если в мире Windows исполняемые файлы представлены в формате Portable Executable (PE), то в Linux эта роль отведена файлам ELF. ELF-файлы интересуют исследователя с точки зрения анализа зловредов, ведь злоумышленники зачастую используют как раз этот формат.
👍11
Forwarded from T.Hunter
#OSINT #Maltego Наиболее полная подборка бесплатных трансформов для программного комплекса Maltego:
├Hacker Target IP
├Nmap (parsing xml results)
├ThreatCrowd search API
├OpenCTI
├OpenDNS Investigate API
├Nextego v1.0
├Recon NG
├Internet archive (webarchive.org)
├Abusix.com
├BreachAlarm
├Clearbit
├Facebook
├FullContact
├Github
├Gravatar
├I Have Been Pwned
├Host.io
├Greynoise
├Hunchly
├MaltegoAliasToEmail
├Domaintools
├Fofa.so
├cqfd-maltego
├Holehe
├Hunter.io
├Keskivonfer
├nqntnqnqmb-maltego
├Phoneinfoga
├Quidam
├Toutatis
├VirusTotal (Public API v2.0)
├Custom transforms
├MISP-maltego
├Censys (SSL and IP info)
├Skype
├Interpol
├NessusScan
├Maigret
├Binaryedge
├True People Search
├Blockchain DNS
├Twint
├Steam
├IntelX
└OpenDNS
@tomhunter
├Hacker Target IP
├Nmap (parsing xml results)
├ThreatCrowd search API
├OpenCTI
├OpenDNS Investigate API
├Nextego v1.0
├Recon NG
├Internet archive (webarchive.org)
├Abusix.com
├BreachAlarm
├Clearbit
├FullContact
├Github
├Gravatar
├I Have Been Pwned
├Host.io
├Greynoise
├Hunchly
├MaltegoAliasToEmail
├Domaintools
├Fofa.so
├cqfd-maltego
├Holehe
├Hunter.io
├Keskivonfer
├nqntnqnqmb-maltego
├Phoneinfoga
├Quidam
├Toutatis
├VirusTotal (Public API v2.0)
├Custom transforms
├MISP-maltego
├Censys (SSL and IP info)
├Skype
├Interpol
├NessusScan
├Maigret
├Binaryedge
├True People Search
├Blockchain DNS
├Twint
├Steam
├IntelX
└OpenDNS
@tomhunter
👍11❤1🤔1
odl.py
[https://github.com/ydkhatri/OneDrive]
маленькая утилита, но при этом очень полезная в условиях, когда исследуемый объект активно использует OneDrive. Скрипт парсит файлы журналов OneDrive, которые имеют расширение *.odl (C:\Users \<USER>\AppData\Local\Microsoft\OneDrive\logs\ ). Наличие этого журнала может быть полезно в определенных сценариях, когда у вас нет других журналов и вам нужно доказать загрузку или синхронизацию файлов/папок или даже обнаружение элементов, которые больше не существуют на диске/облаке.
[https://github.com/ydkhatri/OneDrive]
маленькая утилита, но при этом очень полезная в условиях, когда исследуемый объект активно использует OneDrive. Скрипт парсит файлы журналов OneDrive, которые имеют расширение *.odl (C:\Users \<USER>\AppData\Local\Microsoft\OneDrive\logs\ ). Наличие этого журнала может быть полезно в определенных сценариях, когда у вас нет других журналов и вам нужно доказать загрузку или синхронизацию файлов/папок или даже обнаружение элементов, которые больше не существуют на диске/облаке.
👍3
OneDriveExplorer
[https://github.com/Beercow/OneDriveExplorer]
это приложение для восстановления структуры папок OneDrive из файлов <UserCid>.dat и <UserCid>.dat.previous. Может создавать JSON, CSV или HTML-отчеты проанализированных данных. Имеет также GUI интерфейс.
Расположение файла:
C\Users\<USERNAME>\AppData\Local\Microsoft\OneDrive\settings\<Personal>or<Business1>\
[https://github.com/Beercow/OneDriveExplorer]
это приложение для восстановления структуры папок OneDrive из файлов <UserCid>.dat и <UserCid>.dat.previous. Может создавать JSON, CSV или HTML-отчеты проанализированных данных. Имеет также GUI интерфейс.
Расположение файла:
C\Users\<USERNAME>\AppData\Local\Microsoft\OneDrive\settings\<Personal>or<Business1>\
👍4
2_5217969365776866761.pdf
7.1 MB
слайды с прекрасного выступления Уважаемого @gspdnsobaka на прошедшем PHD11 про деанон злодея укравшего NFT
👍9🔥1👏1
Любая система Windows, будь то домашней или корпоративной версии, не может обойтись без систем аудита безопасности.
Стандартные логи событий имеют расширение *.evtx и хранятся в каталоге
"C:\Windows\System32\winevt\Logs\".
В журнале событий регистрируются все ошибки, информационные сообщения и предупреждения программ.
Скорее всего, рядовой пользователь не часто сталкивается с необходимостью анализа событий или поиска ошибок. Хоть большинство и знает об их наличии - это совсем не значит, что организации активно используют их потенциал в работе. А ведь в корпоративной среде правильно настроенный аудит безопасности вашего Windows Server является фундаментом защиты активов компании и потенциальным источником доказательств при расследовании инцидента.
По умолчанию, мы можем посмотреть и фильтровать логи с помощью стандартного Просмотрщика событий, ну а в последующих нескольких постах мы поделимся различными практиками и утилитами, которые помогут безопасникам следовать триаде CIA (Конфиденциальность (Confidentiality), Целостность (Integrity), Доступность (Availability)).
Стандартные логи событий имеют расширение *.evtx и хранятся в каталоге
"C:\Windows\System32\winevt\Logs\".
В журнале событий регистрируются все ошибки, информационные сообщения и предупреждения программ.
Скорее всего, рядовой пользователь не часто сталкивается с необходимостью анализа событий или поиска ошибок. Хоть большинство и знает об их наличии - это совсем не значит, что организации активно используют их потенциал в работе. А ведь в корпоративной среде правильно настроенный аудит безопасности вашего Windows Server является фундаментом защиты активов компании и потенциальным источником доказательств при расследовании инцидента.
По умолчанию, мы можем посмотреть и фильтровать логи с помощью стандартного Просмотрщика событий, ну а в последующих нескольких постах мы поделимся различными практиками и утилитами, которые помогут безопасникам следовать триаде CIA (Конфиденциальность (Confidentiality), Целостность (Integrity), Доступность (Availability)).
👍23👎1
Microsoft-eventlog-mindmap
[https://github.com/mdecrevoisier/Microsoft-eventlog-mindmap]
огромная карта журнала событий, которая помогает представить все события глобально и структурно, выделяя наиболее важные для сбора логов, поиска угроз или расследований.
Audit Policy Recommendations
[https://github.com/MicrosoftDocs/windowsserverdocs/blob/main/WindowsServerDocs/identity/ad-ds/plan/security-best-practices/Audit-Policy-Recommendations.md]
актуальные (вплоть до Windows Server 2022) рекомендации по настройке параметров политики аудита Windows по умолчанию, базовых рекомендуемых параметров политики аудита и более агрессивных рекомендаций Корпорации Майкрософт для рабочих станций и серверных продуктов.
[https://github-com.translate.goog/MicrosoftDocs/windowsserverdocs/blob/main/WindowsServerDocs/identity/ad-ds/plan/security-best-practices/Appendices.md]
Справочная информация и рекомендации по настройке различных учетных записей и их безопасности в Active Directory, а также список событий с указанием ID, потенциальной критичности и краткого описания.
[https://github.com/mdecrevoisier/Microsoft-eventlog-mindmap]
огромная карта журнала событий, которая помогает представить все события глобально и структурно, выделяя наиболее важные для сбора логов, поиска угроз или расследований.
Audit Policy Recommendations
[https://github.com/MicrosoftDocs/windowsserverdocs/blob/main/WindowsServerDocs/identity/ad-ds/plan/security-best-practices/Audit-Policy-Recommendations.md]
актуальные (вплоть до Windows Server 2022) рекомендации по настройке параметров политики аудита Windows по умолчанию, базовых рекомендуемых параметров политики аудита и более агрессивных рекомендаций Корпорации Майкрософт для рабочих станций и серверных продуктов.
[https://github-com.translate.goog/MicrosoftDocs/windowsserverdocs/blob/main/WindowsServerDocs/identity/ad-ds/plan/security-best-practices/Appendices.md]
Справочная информация и рекомендации по настройке различных учетных записей и их безопасности в Active Directory, а также список событий с указанием ID, потенциальной критичности и краткого описания.
🔥15👍8
Windows EVTX Samples
[https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES]
внушительный набор примеров событий, которые связаны с конкретными методами атак и пост-эксплуатации. Отличный вариант для тестирования скриптов, обучения сотрудников или настройки вашей корпоративной среды. Также автор сопоставил контекст атак с матрицей MITRE и сделал небольшую сводку статистики на основе анализа.
EVTX to MITRE Att@ck
[https://github.com/mdecrevoisier/EVTX-to-MITRE-Attack]
проект, ориентированный на различные системы управления безопасностью. Представляет из себя набор индикаторов компрометации формата evtx, смапленных по техникам и тактикам MITRE. По сути, каждому ID события сопоставляет код тактики, которой это событие может соответствовать.
[https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES]
внушительный набор примеров событий, которые связаны с конкретными методами атак и пост-эксплуатации. Отличный вариант для тестирования скриптов, обучения сотрудников или настройки вашей корпоративной среды. Также автор сопоставил контекст атак с матрицей MITRE и сделал небольшую сводку статистики на основе анализа.
EVTX to MITRE Att@ck
[https://github.com/mdecrevoisier/EVTX-to-MITRE-Attack]
проект, ориентированный на различные системы управления безопасностью. Представляет из себя набор индикаторов компрометации формата evtx, смапленных по техникам и тактикам MITRE. По сути, каждому ID события сопоставляет код тактики, которой это событие может соответствовать.
GitHub
GitHub - sbousseaden/EVTX-ATTACK-SAMPLES: Windows Events Attack Samples
Windows Events Attack Samples. Contribute to sbousseaden/EVTX-ATTACK-SAMPLES development by creating an account on GitHub.
👍7
FullEventLogView от NirSoft
[https://www.nirsoft.net/utils/full_event_log_view.html]
известная утилита, которая позволяет отображать сведения обо всех событиях из журналов в одной таблице как на целевой машине, так и с помощью экспорта. Помимо всего прочего умеет экспортировать данные в различные форматы.
EvtxECmd
[https://github.com/EricZimmerman/evtx]
простой и функциональный парсер логов в командной строке от известного Eric Zimmerman. Отлично используется в связке с KAPE.
EventFinder2
[https://github.com/BeanBagKing/EventFinder2]
утилита, написанная на C#, которая позволит исследователю быстро получить дружественный к Excel экспорт всех журналов EVTX в течение указанного промежутка времени, отсортированных по времени. Проще и быть не может!)
[https://www.nirsoft.net/utils/full_event_log_view.html]
известная утилита, которая позволяет отображать сведения обо всех событиях из журналов в одной таблице как на целевой машине, так и с помощью экспорта. Помимо всего прочего умеет экспортировать данные в различные форматы.
EvtxECmd
[https://github.com/EricZimmerman/evtx]
простой и функциональный парсер логов в командной строке от известного Eric Zimmerman. Отлично используется в связке с KAPE.
EventFinder2
[https://github.com/BeanBagKing/EventFinder2]
утилита, написанная на C#, которая позволит исследователю быстро получить дружественный к Excel экспорт всех журналов EVTX в течение указанного промежутка времени, отсортированных по времени. Проще и быть не может!)
👍6
WELA (Windows Event Log Analyzer)
[https://github.com/Yamato-Security/WELA]
PowerShell инструмент, основной функционал которого состоит в создании таймлайна входов в систему и сбора статистики по основным событиям журнала входа (4624, 4634, 4647, 4672, 4776). Позволяет экономить время и станет отличным дополнением в арсенале специалиста по реагированию.
● Написан на PowerShell, поэтому его легко читать и настраивать.
● Быстрый генератор временной шкалы входа в систему, Обнаружение бокового перемещения, использования системы, подозрительных входов в систему, уязвимого использования протокола и т.д...
● 90%+ шумоподавление для событий входа в систему
● Вычисление затраченного времени входа в систему
● Анализ графического интерфейса
● Краткое описание типа входа
● Правила SIGMA
● Пользовательские правила обнаружения атак
● Статистика входа
[https://github.com/Yamato-Security/WELA]
PowerShell инструмент, основной функционал которого состоит в создании таймлайна входов в систему и сбора статистики по основным событиям журнала входа (4624, 4634, 4647, 4672, 4776). Позволяет экономить время и станет отличным дополнением в арсенале специалиста по реагированию.
● Написан на PowerShell, поэтому его легко читать и настраивать.
● Быстрый генератор временной шкалы входа в систему, Обнаружение бокового перемещения, использования системы, подозрительных входов в систему, уязвимого использования протокола и т.д...
● 90%+ шумоподавление для событий входа в систему
● Вычисление затраченного времени входа в систему
● Анализ графического интерфейса
● Краткое описание типа входа
● Правила SIGMA
● Пользовательские правила обнаружения атак
● Статистика входа
👍10