Coder Social home page Coder Social logo

security-experts-community / open-xp-rules Goto Github PK

View Code? Open in Web Editor NEW

This project forked from vxcontrol/xp-rules

11.0 11.0 31.0 1.96 MB

Открытый репозиторий с правилами на языке eXtraction and Processing (XP)

License: Apache License 2.0

JavaScript 55.37% Scala 44.63%

open-xp-rules's People

Contributors

artemcun avatar asdek avatar aw350m33d avatar d3f0x0 avatar dmitryoffsec avatar driverenok avatar gpaul0 avatar grikos avatar ideas4life avatar ilia-familia avatar khgvad avatar mikmxmv avatar plgvkr avatar sagatjkeee avatar vasilisa-l avatar zblurr avatar

Stargazers

avatar avatar avatar avatar avatar avatar avatar avatar

Forkers

vasilisa-l artemcun aknva arintegofficial d3f0x0 gpaul0 lmnpls driverenok xameleon48 lrevan plgvkr grikos khgvad zblurr kostssl ideas4life aw350m33d seregadeveloper aeselev-acti kn1g4t reterlor reversenant alex1under sagatjkeee arssing shadow2033 ilia-familia rchernov

open-xp-rules's Issues

sysmon_13_keylogger_directx.evtx

sysmon_13_keylogger_directx.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/sysmon_13_keylogger_directx.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/sysmon_13_keylogger_directx
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

dc_applog_ntdsutil_dfir_325_326_327.evtx

dc_applog_ntdsutil_dfir_325_326_327.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/dc_applog_ntdsutil_dfir_325_326_327.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/dc_applog_ntdsutil_dfir_325_326_327
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

Powershell_4104_MiniDumpWriteDump_Lsass.evtx

Powershell_4104_MiniDumpWriteDump_Lsass.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/Powershell_4104_MiniDumpWriteDump_Lsass.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/Powershell_4104_MiniDumpWriteDump_Lsass
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

CA_protectedstorage_5145_rpc_masterkey.evtx

CA_protectedstorage_5145_rpc_masterkey.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/CA_protectedstorage_5145_rpc_masterkey.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/CA_protectedstorage_5145_rpc_masterkey
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

discovery_sysmon_1_iis_pwd_and_config_discovery_appcmd.evtx

discovery_sysmon_1_iis_pwd_and_config_discovery_appcmd.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/discovery_sysmon_1_iis_pwd_and_config_discovery_appcmd.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/discovery_sysmon_1_iis_pwd_and_config_discovery_appcmd
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

ppl_bypass_ppldump_knowdll_hijack_sysmon_security.evtx

ppl_bypass_ppldump_knowdll_hijack_sysmon_security.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/ppl_bypass_ppldump_knowdll_hijack_sysmon_security.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/ppl_bypass_ppldump_knowdll_hijack_sysmon_security
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

CA_Mimikatz_Memssp_Default_Logs_Sysmon_11.evtx

CA_Mimikatz_Memssp_Default_Logs_Sysmon_11.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/CA_Mimikatz_Memssp_Default_Logs_Sysmon_11.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/CA_Mimikatz_Memssp_Default_Logs_Sysmon_11
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

CA_teamviewer-dumper_sysmon_10.evtx

CA_teamviewer-dumper_sysmon_10.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/CA_teamviewer-dumper_sysmon_10.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/CA_teamviewer-dumper_sysmon_10
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

CA_PetiPotam_etw_rpc_efsr_5_6.evtx

CA_PetiPotam_etw_rpc_efsr_5_6.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/CA_PetiPotam_etw_rpc_efsr_5_6.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/CA_PetiPotam_etw_rpc_efsr_5_6
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

remote_pwd_reset_rpc_mimikatz_postzerologon_target_DC.evtx

remote_pwd_reset_rpc_mimikatz_postzerologon_target_DC.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/remote_pwd_reset_rpc_mimikatz_postzerologon_target_DC.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/remote_pwd_reset_rpc_mimikatz_postzerologon_target_DC
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

sysmon17_18_kekeo_tsssp_default_np.evtx

sysmon17_18_kekeo_tsssp_default_np.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/sysmon17_18_kekeo_tsssp_default_np.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/sysmon17_18_kekeo_tsssp_default_np
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

CA_4624_4625_LogonType2_LogonProc_chrome.evtx

CA_4624_4625_LogonType2_LogonProc_chrome.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/CA_4624_4625_LogonType2_LogonProc_chrome.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/CA_4624_4625_LogonType2_LogonProc_chrome
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

MSSQL_multiple_failed_logon_EventID_18456.evtx

MSSQL_multiple_failed_logon_EventID_18456.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/MSSQL_multiple_failed_logon_EventID_18456.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/MSSQL_multiple_failed_logon_EventID_18456
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

sysmon_rdrleakdiag_lsass_dump.evtx

sysmon_rdrleakdiag_lsass_dump.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/sysmon_rdrleakdiag_lsass_dump.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/sysmon_rdrleakdiag_lsass_dump
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

rundll32_hollowing_wermgr_masquerading.evtx

rundll32_hollowing_wermgr_masquerading.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/rundll32_hollowing_wermgr_masquerading.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/rundll32_hollowing_wermgr_masquerading
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

sysmon_10_lsass_mimikatz_sekurlsa_logonpasswords.evtx

sysmon_10_lsass_mimikatz_sekurlsa_logonpasswords.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/sysmon_10_lsass_mimikatz_sekurlsa_logonpasswords.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/sysmon_10_lsass_mimikatz_sekurlsa_logonpasswords
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

Sysmon_13_Local_Admin_Password_Changed.evtx

Sysmon_13_Local_Admin_Password_Changed.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/Sysmon_13_Local_Admin_Password_Changed.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/Sysmon_13_Local_Admin_Password_Changed
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

sysmon_10_1_memdump_comsvcs_minidump.evtx

sysmon_10_1_memdump_comsvcs_minidump.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/sysmon_10_1_memdump_comsvcs_minidump.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/sysmon_10_1_memdump_comsvcs_minidump
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

sideloading_uacbypass_rundll32_injection_c2.evtx

sideloading_uacbypass_rundll32_injection_c2.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/sideloading_uacbypass_rundll32_injection_c2.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/sideloading_uacbypass_rundll32_injection_c2
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

CA_sysmon_hashdump_cmd_meterpreter.evtx

CA_sysmon_hashdump_cmd_meterpreter.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/CA_sysmon_hashdump_cmd_meterpreter.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/CA_sysmon_hashdump_cmd_meterpreter
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

kerberos_pwd_spray_4771.evtx

kerberos_pwd_spray_4771.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/kerberos_pwd_spray_4771.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/kerberos_pwd_spray_4771
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

sysmon_10_11_lsass_memdump.evtx

sysmon_10_11_lsass_memdump.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/sysmon_10_11_lsass_memdump.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/sysmon_10_11_lsass_memdump
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

bits_openvpn.evtx

bits_openvpn.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/bits_openvpn.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/bits_openvpn
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

Zerologon_CVE-2020-1472_DFIR_System_NetLogon_Error_EventID_5805.evtx

Zerologon_CVE-2020-1472_DFIR_System_NetLogon_Error_EventID_5805.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/Zerologon_CVE-2020-1472_DFIR_System_NetLogon_Error_EventID_5805.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/Zerologon_CVE-2020-1472_DFIR_System_NetLogon_Error_EventID_5805
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

CA_DCSync_4662.evtx

CA_DCSync_4662.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/CA_DCSync_4662.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/CA_DCSync_4662
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

DE_RDP_Tunnel_5156.evtx

DE_RDP_Tunnel_5156.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/DE_RDP_Tunnel_5156.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/DE_RDP_Tunnel_5156
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

sysmon_3_10_Invoke-Mimikatz_hosted_Github.evtx

sysmon_3_10_Invoke-Mimikatz_hosted_Github.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/sysmon_3_10_Invoke-Mimikatz_hosted_Github.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/sysmon_3_10_Invoke-Mimikatz_hosted_Github
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

Sysmon13_MachineAccount_Password_Hash_Changed_via_LsarSetSecret.evtx

Sysmon13_MachineAccount_Password_Hash_Changed_via_LsarSetSecret.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/Sysmon13_MachineAccount_Password_Hash_Changed_via_LsarSetSecret.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/Sysmon13_MachineAccount_Password_Hash_Changed_via_LsarSetSecret
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

CA_hashdump_4663_4656_lsass_access.evtx

CA_hashdump_4663_4656_lsass_access.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/CA_hashdump_4663_4656_lsass_access.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/CA_hashdump_4663_4656_lsass_access
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

remote_sam_registry_access_via_backup_operator_priv.evtx

remote_sam_registry_access_via_backup_operator_priv.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/remote_sam_registry_access_via_backup_operator_priv.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/remote_sam_registry_access_via_backup_operator_priv
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

phish_windows_credentials_powershell_scriptblockLog_4104.evtx

phish_windows_credentials_powershell_scriptblockLog_4104.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/phish_windows_credentials_powershell_scriptblockLog_4104.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/phish_windows_credentials_powershell_scriptblockLog_4104
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

rundll32_cmd_schtask.evtx

rundll32_cmd_schtask.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/rundll32_cmd_schtask.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/rundll32_cmd_schtask
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

etw_rpc_zerologon.evtx

etw_rpc_zerologon.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/etw_rpc_zerologon.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/etw_rpc_zerologon
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

CA_keefarce_keepass_credump.evtx

CA_keefarce_keepass_credump.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/CA_keefarce_keepass_credump.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/CA_keefarce_keepass_credump
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

babyshark_mimikatz_powershell.evtx

babyshark_mimikatz_powershell.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/babyshark_mimikatz_powershell.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/babyshark_mimikatz_powershell
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

DE_RDP_Tunneling_TerminalServices-RemoteConnectionManagerOperational_1149.evtx

DE_RDP_Tunneling_TerminalServices-RemoteConnectionManagerOperational_1149.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/DE_RDP_Tunneling_TerminalServices-RemoteConnectionManagerOperational_1149.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/DE_RDP_Tunneling_TerminalServices-RemoteConnectionManagerOperational_1149
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

ACL_ForcePwd_SPNAdd_User_Computer_Accounts.evtx

ACL_ForcePwd_SPNAdd_User_Computer_Accounts.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/ACL_ForcePwd_SPNAdd_User_Computer_Accounts.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/ACL_ForcePwd_SPNAdd_User_Computer_Accounts
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

LsassSilentProcessExit_process_exit_monitor_3001_lsass.evtx

LsassSilentProcessExit_process_exit_monitor_3001_lsass.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/LsassSilentProcessExit_process_exit_monitor_3001_lsass.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/LsassSilentProcessExit_process_exit_monitor_3001_lsass
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

tunna_iis_rdp_smb_tunneling_sysmon_3.evtx

tunna_iis_rdp_smb_tunneling_sysmon_3.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/tunna_iis_rdp_smb_tunneling_sysmon_3.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/tunna_iis_rdp_smb_tunneling_sysmon_3
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

4794_DSRM_password_change_t1098.evtx

4794_DSRM_password_change_t1098.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/4794_DSRM_password_change_t1098.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/4794_DSRM_password_change_t1098
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

sysmon_2x10_lsass_with_different_pid_RtlCreateProcessReflection.evtx

sysmon_2x10_lsass_with_different_pid_RtlCreateProcessReflection.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/sysmon_2x10_lsass_with_different_pid_RtlCreateProcessReflection.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/sysmon_2x10_lsass_with_different_pid_RtlCreateProcessReflection
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

CA_chrome_firefox_opera_4663.evtx

CA_chrome_firefox_opera_4663.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/CA_chrome_firefox_opera_4663.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/CA_chrome_firefox_opera_4663
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

CA_keepass_KeeThief_Get-KeePassDatabaseKey.evtx

CA_keepass_KeeThief_Get-KeePassDatabaseKey.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/CA_keepass_KeeThief_Get-KeePassDatabaseKey.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/CA_keepass_KeeThief_Get-KeePassDatabaseKey
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

tutto_malseclogon.evtx

tutto_malseclogon.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/tutto_malseclogon.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/tutto_malseclogon
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

sideloading_injection_persistence_run_key.evtx

sideloading_injection_persistence_run_key.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/sideloading_injection_persistence_run_key.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/sideloading_injection_persistence_run_key
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

DE_sysmon-3-rdp-tun.evtx

DE_sysmon-3-rdp-tun.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/DE_sysmon-3-rdp-tun.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/DE_sysmon-3-rdp-tun
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

DE_RDP_Tunneling_4624.evtx

DE_RDP_Tunneling_4624.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/DE_RDP_Tunneling_4624.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/DE_RDP_Tunneling_4624
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

DE_timestomp_and_dll_sideloading_and_RunPersist.evtx

DE_timestomp_and_dll_sideloading_and_RunPersist.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/DE_timestomp_and_dll_sideloading_and_RunPersist.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/DE_timestomp_and_dll_sideloading_and_RunPersist
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

sysmon_10_11_outlfank_dumpert_and_andrewspecial_memdump.evtx

sysmon_10_11_outlfank_dumpert_and_andrewspecial_memdump.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/sysmon_10_11_outlfank_dumpert_and_andrewspecial_memdump.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/sysmon_10_11_outlfank_dumpert_and_andrewspecial_memdump
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

WinDefender_Events_1117_1116_AtomicRedTeam.evtx

WinDefender_Events_1117_1116_AtomicRedTeam.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/WinDefender_Events_1117_1116_AtomicRedTeam.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/WinDefender_Events_1117_1116_AtomicRedTeam
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

Recommend Projects

  • React photo React

    A declarative, efficient, and flexible JavaScript library for building user interfaces.

  • Vue.js photo Vue.js

    🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.

  • Typescript photo Typescript

    TypeScript is a superset of JavaScript that compiles to clean JavaScript output.

  • TensorFlow photo TensorFlow

    An Open Source Machine Learning Framework for Everyone

  • Django photo Django

    The Web framework for perfectionists with deadlines.

  • D3 photo D3

    Bring data to life with SVG, Canvas and HTML. 📊📈🎉

Recommend Topics

  • javascript

    JavaScript (JS) is a lightweight interpreted programming language with first-class functions.

  • web

    Some thing interesting about web. New door for the world.

  • server

    A server is a program made to process requests and deliver data to clients.

  • Machine learning

    Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.

  • Game

    Some thing interesting about game, make everyone happy.

Recommend Org

  • Facebook photo Facebook

    We are working to build community through open source technology. NB: members must have two-factor auth.

  • Microsoft photo Microsoft

    Open source projects and samples from Microsoft.

  • Google photo Google

    Google ❤️ Open Source for everyone.

  • D3 photo D3

    Data-Driven Documents codes.