Threat Hunting. Анализ действий злоумышленников

# Threat Hunting. Анализ действий злоумышленников 1. **Написать детект по событиям (в синтаксисе SIGMA) на скачивание файла с помощью certutil.exe** https://lolbas-project.github.io/lolbas/Binaries/Certutil/ Лучше предложить несколько вариантов обнаружения этой активности. Для выполнение этого задания неободимо настроить sysmon. Конфиг можно использовать свой, либо https://github.com/SwiftOnSecurity/sysmon-config - устанавливаем sysmon ![](https://i.imgur.com/QrLwwjk.png) - скачаем конфигурацию для слежения за событиями нарушения безопасности ![](https://i.imgur.com/cskflke.png) - применяем эту конфигурацию ![](https://i.imgur.com/L1YJgR7.png) - скачаем urlcache репозитория sigma ![](https://i.imgur.com/hupFyIs.png) ![](https://i.imgur.com/6erZ8IB.png) - настроим просмотр событий по sysmon ![](https://i.imgur.com/m5lb3ED.png) - посмотрим sysmon ![](https://i.imgur.com/60hGi6c.png) - клонируем репозитарий sigma ![](https://i.imgur.com/P01qt31.png) - пишем правило на детек certutil.exe ![](https://i.imgur.com/k1vL7Y4.png) - запускаем конвертор для правила ![](https://i.imgur.com/UHjN4lR.png) - проверяем в powershell отработку правла и указываем источник sysmon ![](https://i.imgur.com/zcdBVc9.png) 2. **Написать сетевой детект (в синтаксисе suricata) на активность из 1 задания.** - устанавливаем dalton ![](https://i.imgur.com/8ZVvk8R.png) - делаем дамп трафика в Wireshark и добавляем в dalton ![](https://i.imgur.com/kh3ThUJ.png) - пишем правило и добавляем в dalton > здесь пока не совсем разобрался как правильно настроить именно на certutil.exe, поэтому написал на конкерный IP-адрес alert tcp any any -> 140.82.121.4 any (msg: "Connecting to an unknown server"; flow: to_server; sid:10001000; rev:1; classtype:bad-unknown;) - проверяем отработку в dalton ![](https://i.imgur.com/pPY7h1a.png) 3. **Написать программу, выдающую строку по заданным произвольному началу md5-хеша и длине этой строки** - продолжаю изучать suricata.readthedocs