Кибератакам может быть подвержена компания из любой сферы экономики. Каждая попытка злоумышленника закрепиться внутри инфраструктуры оставляет сетевые артефакты. Обнаружить их и снизить вероятность атаки можно с помощью системы анализа трафика. На вебинаре 5 апреля мы покажем, как искать и детектировать угрозы в корпоративной сети, какие механизмы для этого предусмотрены в PT Network Attack Discovery (PT NAD) и как ими правильно пользоваться. Вебинар будет интересен специалистам по ИБ, пользователям PT NAD, а также всем, кто интересуется информационной безопасностью. 00:00:00 - Приветствие 00:00:48 - Программа вебинара 00:02:12 - Что такое PT NAD 00:03:52 - Live-демонстрация 00:04:06 - Вкладка "Дашборды" 00:06:21 - Вкладка "Атаки" 00:07:24 - Правила обнаружения угроз PT NAD 00:08:16 - Вкладка "Сессии" 00:08:33 - Раздел "Таблица сессий" 00:09:13 - Карточка сессии 00:12:49 - Как быть, если недостаточно сведений в разделе "Сессии" 00:14:04 - Карточка атаки 00:15:55 - Репутационные списки 00:16:37 - Репутационный список "DGA" 00:18:27 - Репутационный список "Tor-relays" 00:19:15 - Ищем tor-трафик 00:22:02 - Репутационный список "Malware" 00:22:43 - Взаимодействие PT NAD и PT Sandbox 00:24:02 - Результат анализа объекта в PT Sandbox 00:25:20 - Ищем аномалии в LDAP 00:27:40 - Ищем следы сканирований 00:29:20 - Лента активностей 00:31:12 - Карточка узла 00:33:14 - Обнаружение словарных паролей в разделе "Лента активностей" 00:34:10 - Результаты ретроспективного анализа. "Лента активностей" 00:36:20 - Управление карточками ленты активностей 00:37:23 - Парсинг протоколов 00:40:29 - Определяем нестандартное шифрование 00:41:47 - Что видит PT NAD в протоколе SSH 00:43:30 - Ищем SSH-туннели 00:45:32 - Баннеры клиентов в SSH-трафике 00:46:21 - Хранилища в PT NAD 00:47:12 - Определяем туннели SOCKS5 и HTTP 00:48:20 - Определяем вложенные протоколы 00:49:54 - Определяем использование Meterpreter 00:52:11 - Определяем удаленное выполнение команд через удаленное создание сервисов 00:54:14 - Определяем удаленное выполнение команд через WMI 00:55:34 - Определяем удаленное выполнение команд через удаленное создание задач 00:58:25 - Определяем учетные данные из трафика 01:00:33 - Операции с фильтрами 01:05:43 - 2 типа модулей: ретроспективные и потоковые 01:08:17 - Ответы на вопросы
