#sysmon — Public Fediverse posts

CVE-2026-3502 в TrueConf: как доверенный механизм обновлений превратился в вектор атаки

Хабр, привет! На связи Алина Байрамова, аналитик-исследователь угроз кибербезопасности R-Vision. В этой статье я разберу уязвимость нулевого дня в TrueConf Server (CVE-2026-3502), связанную с механизмом обновлений, и то, как она может быть использована для компрометации изолированных инфраструктур через доверенный канал распространения ПО.

https://habr.com/ru/companies/rvision/articles/1026640/

#изолированные_сети #уязвимости #trueconf #supply_chain_attack #soc #threat_hunting #sysmon #исследование_угроз #CVE20263502 #tampering

CVE-2026-3502 в TrueConf: как доверенный механизм обновлений превратился в вектор атаки

Хабр, привет! На связи Алина Байрамова, аналитик-исследователь угроз кибербезопасности R-Vision. В этой статье я разберу уязвимость нулевого дня в TrueConf Server (CVE-2026-3502), связанную с механизмом обновлений, и то, как она может быть использована для компрометации изолированных инфраструктур через доверенный канал распространения ПО.

https://habr.com/ru/companies/rvision/articles/1026640/

#изолированные_сети #уязвимости #trueconf #supply_chain_attack #soc #threat_hunting #sysmon #исследование_угроз #CVE20263502 #tampering

CVE-2026-3502 в TrueConf: как доверенный механизм обновлений превратился в вектор атаки

Хабр, привет! На связи Алина Байрамова, аналитик-исследователь угроз кибербезопасности R-Vision. В этой статье я разберу уязвимость нулевого дня в TrueConf Server (CVE-2026-3502), связанную с механизмом обновлений, и то, как она может быть использована для компрометации изолированных инфраструктур через доверенный канал распространения ПО.

https://habr.com/ru/companies/rvision/articles/1026640/

#изолированные_сети #уязвимости #trueconf #supply_chain_attack #soc #threat_hunting #sysmon #исследование_угроз #CVE20263502 #tampering

CVE-2026-3502 в TrueConf: как доверенный механизм обновлений превратился в вектор атаки

Хабр, привет! На связи Алина Байрамова, аналитик-исследователь угроз кибербезопасности R-Vision. В этой статье я разберу уязвимость нулевого дня в TrueConf Server (CVE-2026-3502), связанную с механизмом обновлений, и то, как она может быть использована для компрометации изолированных инфраструктур через доверенный канал распространения ПО.

https://habr.com/ru/companies/rvision/articles/1026640/

#изолированные_сети #уязвимости #trueconf #supply_chain_attack #soc #threat_hunting #sysmon #исследование_угроз #CVE20263502 #tampering

BYOVD-атаки на ядро Windows через драйверы: разбираю механику, воспроизвожу, строю защиту

Вы настроили Sysmon, у вас работает EDR, события летят в SIEM. Создаётся процесс, вы видите Event ID 1. Загружается DLL, Event ID 7. Всё под контролем. А теперь кто-то загружает в систему один .sys-файл. Обычный, подписанный, из прошлого века. И события пропадают. Не потому что Sysmon упал или EDR отключили. Они работают. Просто ядро Windows больше не считает нужным им что-то рассказывать. Я залез внутрь, чтобы понять, как это устроено. Поднял WinDbg, подключился к ядру, нашёл структуры, где хранятся callback'и мониторинга. Обнулил их, повторив технику руткита Lazarus. Sysmon на месте, PID живой, но лог пустой. Меня зовут Роман Мгоев, я специалист по анализу киберугроз в Альфа-Банке, в статье пройду этот путь целиком: начиная с архитектуры колец защиты Windows, byte-патчей в памяти ядра и разбора FudModule от Lazarus обеих версий, до свежих техник zerosalarium и разбора публичных тулкитов, а в конце поделюсь семью направлениями детектирования с готовыми правилами для SIEM. Отдельный блок — про аудит драйверов, которых ещё нет ни в одной базе.

https://habr.com/ru/companies/alfa/articles/1011302/

#BYOVD #EDR #Windows_kernel #Sysmon #SIEM #Lazarus #ransomware #reverse_engineering #SOC #detection_engineering

BYOVD-атаки на ядро Windows через драйверы: разбираю механику, воспроизвожу, строю защиту

Вы настроили Sysmon, у вас работает EDR, события летят в SIEM. Создаётся процесс, вы видите Event ID 1. Загружается DLL, Event ID 7. Всё под контролем. А теперь кто-то загружает в систему один .sys-файл. Обычный, подписанный, из прошлого века. И события пропадают. Не потому что Sysmon упал или EDR отключили. Они работают. Просто ядро Windows больше не считает нужным им что-то рассказывать. Я залез внутрь, чтобы понять, как это устроено. Поднял WinDbg, подключился к ядру, нашёл структуры, где хранятся callback'и мониторинга. Обнулил их, повторив технику руткита Lazarus. Sysmon на месте, PID живой, но лог пустой. Меня зовут Роман Мгоев, я специалист по анализу киберугроз в Альфа-Банке, в статье пройду этот путь целиком: начиная с архитектуры колец защиты Windows, byte-патчей в памяти ядра и разбора FudModule от Lazarus обеих версий, до свежих техник zerosalarium и разбора публичных тулкитов, а в конце поделюсь семью направлениями детектирования с готовыми правилами для SIEM. Отдельный блок — про аудит драйверов, которых ещё нет ни в одной базе.

https://habr.com/ru/companies/alfa/articles/1011302/

#BYOVD #EDR #Windows_kernel #Sysmon #SIEM #Lazarus #ransomware #reverse_engineering #SOC #detection_engineering

BYOVD-атаки на ядро Windows через драйверы: разбираю механику, воспроизвожу, строю защиту

Вы настроили Sysmon, у вас работает EDR, события летят в SIEM. Создаётся процесс, вы видите Event ID 1. Загружается DLL, Event ID 7. Всё под контролем. А теперь кто-то загружает в систему один .sys-файл. Обычный, подписанный, из прошлого века. И события пропадают. Не потому что Sysmon упал или EDR отключили. Они работают. Просто ядро Windows больше не считает нужным им что-то рассказывать. Я залез внутрь, чтобы понять, как это устроено. Поднял WinDbg, подключился к ядру, нашёл структуры, где хранятся callback'и мониторинга. Обнулил их, повторив технику руткита Lazarus. Sysmon на месте, PID живой, но лог пустой. Меня зовут Роман Мгоев, я специалист по анализу киберугроз в Альфа-Банке, в статье пройду этот путь целиком: начиная с архитектуры колец защиты Windows, byte-патчей в памяти ядра и разбора FudModule от Lazarus обеих версий, до свежих техник zerosalarium и разбора публичных тулкитов, а в конце поделюсь семью направлениями детектирования с готовыми правилами для SIEM. Отдельный блок — про аудит драйверов, которых ещё нет ни в одной базе.

https://habr.com/ru/companies/alfa/articles/1011302/

#BYOVD #EDR #Windows_kernel #Sysmon #SIEM #Lazarus #ransomware #reverse_engineering #SOC #detection_engineering

BYOVD-атаки на ядро Windows через драйверы: разбираю механику, воспроизвожу, строю защиту

Вы настроили Sysmon, у вас работает EDR, события летят в SIEM. Создаётся процесс, вы видите Event ID 1. Загружается DLL, Event ID 7. Всё под контролем. А теперь кто-то загружает в систему один .sys-файл. Обычный, подписанный, из прошлого века. И события пропадают. Не потому что Sysmon упал или EDR отключили. Они работают. Просто ядро Windows больше не считает нужным им что-то рассказывать. Я залез внутрь, чтобы понять, как это устроено. Поднял WinDbg, подключился к ядру, нашёл структуры, где хранятся callback'и мониторинга. Обнулил их, повторив технику руткита Lazarus. Sysmon на месте, PID живой, но лог пустой. Меня зовут Роман Мгоев, я специалист по анализу киберугроз в Альфа-Банке, в статье пройду этот путь целиком: начиная с архитектуры колец защиты Windows, byte-патчей в памяти ядра и разбора FudModule от Lazarus обеих версий, до свежих техник zerosalarium и разбора публичных тулкитов, а в конце поделюсь семью направлениями детектирования с готовыми правилами для SIEM. Отдельный блок — про аудит драйверов, которых ещё нет ни в одной базе.

https://habr.com/ru/companies/alfa/articles/1011302/

#BYOVD #EDR #Windows_kernel #Sysmon #SIEM #Lazarus #ransomware #reverse_engineering #SOC #detection_engineering

#Windows11 KB5077241 update improves #BitLocker, adds #Sysmon tool

https://www.bleepingcomputer.com/news/microsoft/windows-11-kb5077241-update-improves-bitlocker-adds-sysmon-tool/

#cybersecurity #Windows #Microsoft

Native #Sysmon-Integration in #Windows :windows: rückt näher | Security https://www.heise.de/news/Native-Sysmon-Integration-in-Windows-rueckt-naeher-11164696.html #Microsoft #MicrosoftWindows :windows:

----------------

🛠️ Tool
===================

Executive summary: The TrustedSec Sysmon Community Guide is an open-source reference that documents Microsoft Sysinternals Sysmon capabilities, event taxonomy, configuration guidance, and approaches for detection engineering. Authored and maintained by Carlos Perez of TrustedSec, the guide is published under a Creative Commons Attribution-ShareAlike 4.0 license.

Technical details:
• The guide catalogs Sysmon event families including process events (creation, termination, access), file events (create, delete, stream hash, create-time change), network events (network connections, DNS query), image loading, named pipes, driver loading, registry actions, create remote thread, raw access read, WMI events, clipboard capture, and process image tampering.
• Platform-specific coverage includes the Sysmon kernel driver and Windows-focused internals as well as Linux support via sysinternalsEBPF that captures equivalent telemetry on Linux hosts.
• Configuration and detection-engineering chapters provide conceptual approaches to crafting filters and detection rules, and the repository structure maps topics to chapter files (e.g., process-creation.md, network-connections.md).

How it works (conceptual):
• The guide describes how Sysmon produces structured event telemetry accessible to SIEMs, and how eBPF-based collectors on Linux mirror similar event classes.
• Sample topics explain event fields used for correlation (process hashes, parent/child relationships, command line, network endpoints, registry keys) without prescribing a single configuration, acknowledging environment variability.

Use cases:
• Central reference for SOCs building Sysmon configurations and detection logic.
• Baseline for threat hunting using process, file, and network indicators documented in the chapters.

Limitations:
• The guide emphasizes community contributions and does not prescribe one-size-fits-all configurations; specifics must be adapted per environment.
• No vendor-specific deployment steps are included; the document focuses on capabilities and detection concepts.

References: TrustedSec LLC, Carlos Perez, Creative Commons BY-SA 4.0. #sysmon #detection_engineering #sysinternals #eBPF #tool

🔗 Source: https://github.com/trustedsec/SysmonCommunityGuide

Oh holy hell. This just shows that Microsoft need to clean up its act and get rid of such functionality to FIRMLY stand on the side of defenders. What the fuck were they thinking when they added support for custom registry hives? #registry #evasion #sysmon #edr
https://deceptiq.com/blog/ntuser-man-registry-persistence

#Windows :windows: integriert #Sysmon nativ | Security https://www.heise.de/news/Sysmon-wird-Windows-Bestandteil-11084871.html #Windows11 #WindowsServer2025 #Sysinternals #SysinternalsSuite

RE: https://infosec.exchange/@suricata/115583672707664579

Suricata events enriched with #sysmon process info = #Pikksilm. Based on experiences from the #LockedShields cyber battlefield. Definitely recommended to see that tool and presentation.

Also talk about #ICS , #modbus and datasets by @reverseics brings good ideas and examples of #suricata rules.

システムモニタリングツール「Sysmon」、Windows 11/Windows Server 2025に内蔵へ／来年にも実施
https://forest.watch.impress.co.jp/docs/news/2064814.html

#forest_watch_impress #Sysmon #Windows_11 #Windows_Server_2025 #Secure_Future_Initiative #システム_ファイル #システム #Windows

#Microsoft wird das #Admin-#Tool #Sysmon ab 2026 fest in #Windows11 integrieren. Der System-#Monitor soll dann offiziellen Support erhalten und einfach über die Windows-Funktionsverwaltung aktivierbar sein. https://winfuture.de/news,155054.html?utm_source=Mastodon&utm_medium=ManualStatus&utm_campaign=SocialMedia

https://winbuzzer.com/2025/11/18/microsoft-integrates-system-monitor-sysmon-into-windows-11-xcxwbn

Microsoft Integrates System Monitor (Sysmon) into Windows 11

#Windows11 #Sysmon #CyberSecurity #InfoSec #Microsoft #WindowsServer #Sysinternals #BlueTeam #ThreatHunting #EdgeAI #WindowsUpdate

I'm not sure how accurate this is, but The Verge is reporting that #SysMon will be integrated into Windows 11 early next year.

This will be a massive win for #DFIR and #SecOps people everywhere if it's correct.

https://www.theverge.com/news/821948/microsoft-windows-11-ai-agents-taskbar-integration

When a breach occurs, it’s too late to wish you’d configured your logs...

Incident responders can only work with what’s there. Our latest blog post, written by Nicole, breaks down which logs provide the best chance of understanding what really happened and how to configure them before you need them, so you can get back to business as usual swiftly.

📌Read here: https://www.pentestpartners.com/security-blog/the-logs-youll-wish-you-had-configured-if-when-you-are-breached/

#cybersecurity #incidentresponse #digitalforensics #sysmon #windowssecurity #infosec

RID Hijacking

Всем привет! Сегодня мы рассмотрим один из способов пост-эксплуатации Rid hijacking и посмотрим его артефакты.

https://habr.com/ru/articles/931990/

#RID_Hijacking #безопасность #windows #sysmon #event_viewer #poc #артефакты #blue_team #cybersecurity #rid

RID Hijacking

Всем привет! Сегодня мы рассмотрим один из способов пост-эксплуатации Rid hijacking и посмотрим его артефакты.

https://habr.com/ru/articles/931990/

#RID_Hijacking #безопасность #windows #sysmon #event_viewer #poc #артефакты #blue_team #cybersecurity #rid

RID Hijacking

Всем привет! Сегодня мы рассмотрим один из способов пост-эксплуатации Rid hijacking и посмотрим его артефакты.

https://habr.com/ru/articles/931990/

#RID_Hijacking #безопасность #windows #sysmon #event_viewer #poc #артефакты #blue_team #cybersecurity #rid

RID Hijacking

Всем привет! Сегодня мы рассмотрим один из способов пост-эксплуатации Rid hijacking и посмотрим его артефакты.

https://habr.com/ru/articles/931990/

#RID_Hijacking #безопасность #windows #sysmon #event_viewer #poc #артефакты #blue_team #cybersecurity #rid

「VBScript」の非推奨・削除に備えよ ～MicrosoftがVBS依存を検出する方法を案内／「VBScript」の既定無効化は2027年頃
https://forest.watch.impress.co.jp/docs/news/2015096.html

#forest_watch_impress #VBScript #Sysmon #システム_ファイル #システム #Windows

「VBScript」の非推奨・削除に備えよ ～MicrosoftがVBS依存を検出する方法を案内／「VBScript」の既定無効化は2027年頃
https://forest.watch.impress.co.jp/docs/news/2015096.html

#forest_watch_impress #VBScript #Sysmon #システム_ファイル #システム #Windows

Automating Sysmon installation and configuration with PowerShell http://dlvr.it/TJ6TbR via PlanetPowerShell #Sysmon #PowerShell #CyberSecurity #SystemMonitoring

Automating Sysmon installation and configuration with PowerShell http://dlvr.it/TJ6TbR via PlanetPowerShell #Sysmon #PowerShell #CyberSecurity #SystemMonitoring

Automating Sysmon installation and configuration with PowerShell http://dlvr.it/TJ6TbR via PlanetPowerShell #Sysmon #PowerShell #CyberSecurity #SystemMonitoring

Automating Sysmon installation and configuration with PowerShell http://dlvr.it/TJ6TbR via PlanetPowerShell #Sysmon #PowerShell #CyberSecurity #SystemMonitoring

Automating Sysmon installation and configuration with PowerShell http://dlvr.it/TJ6TbR via PlanetPowerShell #Sysmon #PowerShell #CyberSecurity #SystemMonitoring

Три слона, на которых держится логирование в Windows

Продолжаем наш цикл статей о типах и методах работы сборщиков данных с конечных точек, или, как принято их называть – агентов. В первой статье мы познакомились с этой сущностью и изучили основные нюансы сбора данных с их помощью. Так как мы в рамках разработки своих продуктов занимаемся и лог-менеджментом, и сбором событий, то хочется поделиться продолжением нашей обширной аналитики в quickstart формате. Поэтому в этом выпуске подробнее разберем функционал и используемые инструменты источников на ОС Windows.

https://habr.com/ru/companies/securityvison/articles/862352/

#Логирование #сбор_событий #eventlog #журналы_windows #журналы_событий #sysmon #event_tracing_for_windows #event_logging #event_log #etw

Три слона, на которых держится логирование в Windows

Продолжаем наш цикл статей о типах и методах работы сборщиков данных с конечных точек, или, как принято их называть – агентов. В первой статье мы познакомились с этой сущностью и изучили основные нюансы сбора данных с их помощью. Так как мы в рамках разработки своих продуктов занимаемся и лог-менеджментом, и сбором событий, то хочется поделиться продолжением нашей обширной аналитики в quickstart формате. Поэтому в этом выпуске подробнее разберем функционал и используемые инструменты источников на ОС Windows.

https://habr.com/ru/companies/securityvison/articles/862352/

#Логирование #сбор_событий #eventlog #журналы_windows #журналы_событий #sysmon #event_tracing_for_windows #event_logging #event_log #etw

Три слона, на которых держится логирование в Windows

Продолжаем наш цикл статей о типах и методах работы сборщиков данных с конечных точек, или, как принято их называть – агентов. В первой статье мы познакомились с этой сущностью и изучили основные нюансы сбора данных с их помощью. Так как мы в рамках разработки своих продуктов занимаемся и лог-менеджментом, и сбором событий, то хочется поделиться продолжением нашей обширной аналитики в quickstart формате. Поэтому в этом выпуске подробнее разберем функционал и используемые инструменты источников на ОС Windows.

https://habr.com/ru/companies/securityvison/articles/862352/

#Логирование #сбор_событий #eventlog #журналы_windows #журналы_событий #sysmon #event_tracing_for_windows #event_logging #event_log #etw

Три слона, на которых держится логирование в Windows

Продолжаем наш цикл статей о типах и методах работы сборщиков данных с конечных точек, или, как принято их называть – агентов. В первой статье мы познакомились с этой сущностью и изучили основные нюансы сбора данных с их помощью. Так как мы в рамках разработки своих продуктов занимаемся и лог-менеджментом, и сбором событий, то хочется поделиться продолжением нашей обширной аналитики в quickstart формате. Поэтому в этом выпуске подробнее разберем функционал и используемые инструменты источников на ОС Windows.

https://habr.com/ru/companies/securityvison/articles/862352/

#Логирование #сбор_событий #eventlog #журналы_windows #журналы_событий #sysmon #event_tracing_for_windows #event_logging #event_log #etw

Использование портативного клиента Telegram, так ли незаметно?

Приветствую, Хабр! Мессенджеры являются незаменимым инструментом для общения в корпоративной среде, поскольку это быстро и удобно. Зачастую во многих компаниях сотрудники взаимодействуют не через корпоративные, а через общедоступные мессенджеры. Это увеличивает риски утечки информации , так как влечет за собой преднамеренное или непреднамеренное разглашение данных. В качестве меры предотвращения такой утечки компании, как правило, используют DLP системы (Data Loss Prevention) и другие способы мониторинга переписки. Одним из самых популярных мессенджеров, используемых в России и СНГ, является Telegram . Как показывает практика компаний, работающих с DLP, алгоритм определения клиента Telegram в системе несовершенен и обойти механизмы контроля, используя портативную версию, достаточно просто. Оценивая стоимость внедрения механизмов контроля и простоту их обхода, давайте попробуем ответить на вопрос: "По каким признакам можно понять, что используется Portable клиент Telegram?". Для анализа мы возьмем штатные средства мониторинга системы, а также журналы Sysmon . События журналов будем рассматривать в R-Vision SIEM, так как продукт позволяет обрабатывать все события в одном месте с удобными фильтрами и высокой производительностью.

https://habr.com/ru/companies/rvision/articles/844766/

#Telegram #portable #конфиденциальность #siem #sysmon #wineventlog #dlpсистемы #desktop

Использование портативного клиента Telegram, так ли незаметно?

Приветствую, Хабр! Мессенджеры являются незаменимым инструментом для общения в корпоративной среде, поскольку это быстро и удобно. Зачастую во многих компаниях сотрудники взаимодействуют не через корпоративные, а через общедоступные мессенджеры. Это увеличивает риски утечки информации , так как влечет за собой преднамеренное или непреднамеренное разглашение данных. В качестве меры предотвращения такой утечки компании, как правило, используют DLP системы (Data Loss Prevention) и другие способы мониторинга переписки. Одним из самых популярных мессенджеров, используемых в России и СНГ, является Telegram . Как показывает практика компаний, работающих с DLP, алгоритм определения клиента Telegram в системе несовершенен и обойти механизмы контроля, используя портативную версию, достаточно просто. Оценивая стоимость внедрения механизмов контроля и простоту их обхода, давайте попробуем ответить на вопрос: "По каким признакам можно понять, что используется Portable клиент Telegram?". Для анализа мы возьмем штатные средства мониторинга системы, а также журналы Sysmon . События журналов будем рассматривать в R-Vision SIEM, так как продукт позволяет обрабатывать все события в одном месте с удобными фильтрами и высокой производительностью.

https://habr.com/ru/companies/rvision/articles/844766/

#Telegram #portable #конфиденциальность #siem #sysmon #wineventlog #dlpсистемы #desktop

Использование портативного клиента Telegram, так ли незаметно?

Приветствую, Хабр! Мессенджеры являются незаменимым инструментом для общения в корпоративной среде, поскольку это быстро и удобно. Зачастую во многих компаниях сотрудники взаимодействуют не через корпоративные, а через общедоступные мессенджеры. Это увеличивает риски утечки информации , так как влечет за собой преднамеренное или непреднамеренное разглашение данных. В качестве меры предотвращения такой утечки компании, как правило, используют DLP системы (Data Loss Prevention) и другие способы мониторинга переписки. Одним из самых популярных мессенджеров, используемых в России и СНГ, является Telegram . Как показывает практика компаний, работающих с DLP, алгоритм определения клиента Telegram в системе несовершенен и обойти механизмы контроля, используя портативную версию, достаточно просто. Оценивая стоимость внедрения механизмов контроля и простоту их обхода, давайте попробуем ответить на вопрос: "По каким признакам можно понять, что используется Portable клиент Telegram?". Для анализа мы возьмем штатные средства мониторинга системы, а также журналы Sysmon . События журналов будем рассматривать в R-Vision SIEM, так как продукт позволяет обрабатывать все события в одном месте с удобными фильтрами и высокой производительностью.

https://habr.com/ru/companies/rvision/articles/844766/

#Telegram #portable #конфиденциальность #siem #sysmon #wineventlog #dlpсистемы #desktop

If you're interested in getting into #Linux #logging and evidence collection, this is an excellent write-up from @kostastsale that compares #EVTX logs on Windows with #Auditd, #SysMon for Linux, and native Linux logging.

#DFIR #LinuxForensics #SIEM #CSIRT

https://kostas-ts.medium.com/telemetry-on-linux-vs-windows-a-comparative-analysis-849f6b43ef8e

If you're interested in getting into #Linux #logging and evidence collection, this is an excellent write-up from @kostastsale that compares #EVTX logs on Windows with #Auditd, #SysMon for Linux, and native Linux logging.

#DFIR #LinuxForensics #SIEM #CSIRT

https://kostas-ts.medium.com/telemetry-on-linux-vs-windows-a-comparative-analysis-849f6b43ef8e

If you're interested in getting into #Linux #logging and evidence collection, this is an excellent write-up from @kostastsale that compares #EVTX logs on Windows with #Auditd, #SysMon for Linux, and native Linux logging.

#DFIR #LinuxForensics #SIEM #CSIRT

https://kostas-ts.medium.com/telemetry-on-linux-vs-windows-a-comparative-analysis-849f6b43ef8e

If you're interested in getting into #Linux #logging and evidence collection, this is an excellent write-up from @kostastsale that compares #EVTX logs on Windows with #Auditd, #SysMon for Linux, and native Linux logging.

#DFIR #LinuxForensics #SIEM #CSIRT

https://kostas-ts.medium.com/telemetry-on-linux-vs-windows-a-comparative-analysis-849f6b43ef8e

If you're interested in getting into #Linux #logging and evidence collection, this is an excellent write-up from @kostastsale that compares #EVTX logs on Windows with #Auditd, #SysMon for Linux, and native Linux logging.

#DFIR #LinuxForensics #SIEM #CSIRT

https://kostas-ts.medium.com/telemetry-on-linux-vs-windows-a-comparative-analysis-849f6b43ef8e

Given Sysmon is as configurable as a Baulders Gate 3 character, what config do you prefer for homelab use? I've been using the sysmon-modular repo but have also used SwitfOnSecurity's before that.

I've been wondering if I'm gathering enough telemetry when running atomic tests.

https://medium.com/@swathitadepalli/improving-windows-logging-visibility-in-elastic-12e2f6996e64

#Sysmon #Bluteam

Given Sysmon is as configurable as a Baulders Gate 3 character, what config do you prefer for homelab use? I've been using the sysmon-modular repo but have also used SwitfOnSecurity's before that.

I've been wondering if I'm gathering enough telemetry when running atomic tests.

https://medium.com/@swathitadepalli/improving-windows-logging-visibility-in-elastic-12e2f6996e64

#Sysmon #Bluteam

Given Sysmon is as configurable as a Baulders Gate 3 character, what config do you prefer for homelab use? I've been using the sysmon-modular repo but have also used SwitfOnSecurity's before that.

I've been wondering if I'm gathering enough telemetry when running atomic tests.

https://medium.com/@swathitadepalli/improving-windows-logging-visibility-in-elastic-12e2f6996e64

#Sysmon #Bluteam

Given Sysmon is as configurable as a Baulders Gate 3 character, what config do you prefer for homelab use? I've been using the sysmon-modular repo but have also used SwitfOnSecurity's before that.

I've been wondering if I'm gathering enough telemetry when running atomic tests.

https://medium.com/@swathitadepalli/improving-windows-logging-visibility-in-elastic-12e2f6996e64

#Sysmon #Bluteam

Given Sysmon is as configurable as a Baulders Gate 3 character, what config do you prefer for homelab use? I've been using the sysmon-modular repo but have also used SwitfOnSecurity's before that.

I've been wondering if I'm gathering enough telemetry when running atomic tests.

https://medium.com/@swathitadepalli/improving-windows-logging-visibility-in-elastic-12e2f6996e64

#Sysmon #Bluteam

#dfir #knowledgedrop

There's a new'ish #linux tool similar to #sysmon by @0xrawsec from @circl

https://why.kunai.rocks/
(see also @kunai_project )

PS: it is written in #rust :blobwink:

Today is the third day of @passthesaltcon. I'm learning about @kunai_project :

https://cfp.pass-the-salt.org/pts2024/talk/TFJ3ST/

It's a #sysmon alternative for #Linux targeted at #infosec, however I plant to use it to debug syslog-ng :-)

Listening to Quentin JEROME at @passthesaltcon talking about:

Kunai Updates

https://cfp.pass-the-salt.org/pts2024/talk/VLT987/

Kunai is a #Sysmon alternative for #Linux

#pts24