Пошаговое руководство по Детективному агентству Кусто, сезон 2, решение дела №4
Детектив спасите мэра! 🕵👩⚖
Четвертая загадка:
Основные выводы из загадки:
- Мэр замешан в нескольких инцидентах, связанных с утечкой данных
- Мы получили информацию о компаниях, работающих с муниципалитетом
- Нас просят найти на основе сетевой активности, кто стоит за всем этим
⚠ВНИМАНИЕ, СПОЙЛЕР — РЕШЕНИЕ, ОПИСАННОЕ НИЖЕ⚠
Примечание. Решение принадлежит мне и не является официальным.
Итак, давайте углубимся в данные, используя | take 10
, чтобы увидеть некоторые строки.
Таблица IpInfo
имеет; IPCidr, Инфо.
Это полезно знать, какие компании участвуют.
Итак, давайте углубимся в данные, используя | take 10
, чтобы увидеть некоторые строки.
Таблица NetworkMetrics
имеет; ColumnName Timestamp, ClientIP, TargetIP, BytesSent, BytesReceived, NewConnections.
Хакеры хотели бы свести к минимуму занимаемую ими сеть, поэтому они, скорее всего, будут подключаться к одной машине за раз.
Найдем такие:
Если бы мы только могли обнаруживать аномалии, когда отправлялись огромные объемы данных…
Нам повезло! 🍀
KQL имеет series_decompose_anomalies
функций, которые умеют делать именно это!
Найдем компании с максимальным баллом аномалии:
Самая подозрительная компания — KUANDA.ORG:
Настоящие рыбаки! 🐟
Понравилась эта статья? Не стесняйтесь долго нажимать кнопку 👏 ниже 😀
Нажмите для решения следующего дела ➡
Нажмите, чтобы перейти к предыдущему решению ⬅
Кейсы Решения: 0 1 2 3 4 5 6 7 8 9 10