xmoonlight, Спасибо за подсказки. Дополню: нужно в конечном итоге именно логгирование событий сканирования т.к. потом логи будут засылаться в SIEM. Идея сделать цепочку: рабочие станции-win log collector-SIEM, последний будет отправлять аллерты.
Пока вижу только такой сценарий:
- С Sysmon на данный момент как я понял возможны танцы с бубном только путём добавления конфига который позволит логгировать события: 1) создания процесса nmap 2) сканирование nmap самого себя на предмет открытых портов.
- Весть входящий созданный nmap и иными сканерами трафик НА рабочие станции логгировать через snort
xmoonlight, да всё верно. В идеале ловить и на рабочих станциях тоже (это проще).
Пы.Сы. только что протеститовал конфиг с гитхаба для sysmon на тестируемой станции - логгирует только создание самого процесса nmap.exe на тестируемой машине (как я понял на большее и не стоит расчитывать)
xmoonlight, такое возможно только относительно серверов с критической инфраструктурой, но не с рабочих станций, к сожалению.
Рассматривается сценарий загрузки малваря по неосторожности пользователя и последующем сканировании уже с зараженной рабочей станции всей сети и портов.
xmoonlight, ловить пытаюсь весь сетевой трафик с рабочих станций на вин10. (мне бы для начала и это детектить) Сейчас уже вопрос в другом - при установке sysmon опция -n отсутствует.
Что касательно опции детектить сканирование портов с помощью nmap - интересна возможность детектить такие сканирования внутри сети с одной рабочей станции на другую. к примеру.
Рональд Макдональд, тут скорее для проверки себя на вшивость. бывали кадры к нам в контору приходили и не знали ничерта о моделях и различиях между ними. Но самое интересное, что иногда и себя ловишь на мысли, что начинаешь забывать базу.
Одиночка Айс, Ок, принято. Вуз, кстати, закончил профильный по оной специальности. Но как и везде - знания которые там давали были актуальны лет 20-30 назад. Как сами-то поднимаете уровень знаний?