OSW#2: Task-7


# OSW#2: Task-7

__Пример активности обезвреженного вредоносного файла. Применяется несколько техник получения учетных данных.__
__Необходимо определить ту технику, которая генерирует большинство событий в представленном логе и написать детектирующее правило.__

Файл с событиями можно [скачать тут 🔗](https://github.com/user-attachments/files/15873050/emd-4251.json).

Проставляй галочки по ходу выполнения шагов:

- [ ] Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на `assign yourself` в правой части экрана в разделе `Assignees`.
> Если ты до этого не участвовал в спринтах __Open Security Week__, то напиши комментарий к этой задаче: "_Беру эту задачу_" и жди когда тебя добавят в группу для выдачи прав на редактирование issues. Это нужно чтобы иметь возможность назначать задачи на себя.
- [ ] Переведи задачу из статуса `Backlog` в `In Progress` в разделе `Projects` справа.
- [ ] Выполни подготовительные действия, описанные в разделе ["Подготовка к спринту"](https://github.com/Security-Experts-Community/Open-Security-Week/discussions/58#1) правил участия.
- [ ] Изучи атаку, события для которой сохранены в [файле с событиями](https://github.com/user-attachments/files/15873050/emd-4251.json). Пойми как устроена атака, и сопоставь это с теми событиями, которые находятся в файле. 
- [ ] Открой локальную копию своего форка репозитория с правилами в VSCode.
- [ ] Сразу отведи ветку под разработку текущего правила:
    `git checkout -b feature/OSW-2-Task-7`.
- [ ] Придумай логику детектирования и напиши правило, используя [плагин VSCode XP (eXtraction and Processing)](https://github.com/Security-Experts-Community/vscode-xp). Рекомендации по разработке см. в разделе ["Советы по процессу разработки правил"](https://github.com/Security-Experts-Community/Open-Security-Week/discussions/58#4) правил участия.
- [ ] Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
`git add *`
`git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"`
`git push --set-upstream origin feature/OSW-2-Task-7`
- [ ] Открой [исходный репозиторий](https://github.com/Security-Experts-Community/open-xp-rules) в браузере. [Платформа предложит создать Pull Request (PR)](https://docs.github.com/en/pull-requests/collaborating-with-pull-requests/proposing-changes-to-your-work-with-pull-requests/creating-a-pull-request-from-a-fork) из твоего форка в ветку master. Создайте PR с описанием содержимого и текстом `Resolves #ISSUE_ID`, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. [Using keywords in issues and pull requests](https://docs.github.com/en/get-started/writing-on-github/working-with-advanced-formatting/using-keywords-in-issues-and-pull-requests)).
- [ ] Переведи задачу из состояния `In Progress` в `Done`.

> Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в [чат](https://t.me/s3curity_experts_community/926) или в [дискуссии GitHub](https://github.com/Security-Experts-Community/Open-Security-Week/discussions/58)


Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

OSW#2: Task-7 #372

OSW#2: Task-7

Metadata

Assignees

Labels

Type

Projects

Milestone

Relationships

Development

OSW#2: Task-7 #372

Description

OSW#2: Task-7

Metadata

Metadata

Assignees

Labels

Type

Projects

Milestone

Relationships

Development

Issue actions