?user=<ваш_user_id>.Тебе дали кратенький бриф: атакующие используют технику persistence через scheduled tasks с unusual user contexts (T1053.005). SOC хочет KQL-запрос (Elastic-style), который ловит этот паттерн в логах Windows событий.
Тебе нужно отправить KQL-запрос. Backend прогонит его против тестового набора (1000 нормальных, 25 атакующих событий) — нужно поймать ≥23/25 атакующих и ≤5/1000 ложных срабатываний.
Ссылка на бриф: t1053-brief.md — 1 страница MITRE-описания с примерами event_id и полями.
Формат флага: flag{detection_engineer_{USER_HASH}} — выдаётся при прохождении.
Саған қысқа бриф берілді: шабуылдаушылар scheduled tasks арқылы тұрақтылық, оғаш пайдаланушы контекстімен (T1053.005) техникасын пайдаланып жатыр. SOC сенен Windows оқиғаларының лог жинағында осы үлгіні ұстайтын KQL сұранысын (Elastic үлгідегі) сұрайды.
Сен KQL сұранысын жіберуің керек. Backend оны тест жиынында (1000 қарапайым, 25 шабуыл оқиғасы) іске қосады — ≥23/25 шабуылды ұстау керек және ≤5/1000 жалған оң нәтиже болуы тиіс.
Брифке сілтеме: t1053-brief.md — MITRE сипаттамасы мысалдармен бірге 1 беттік.
Жалаушаның форматы: flag{detection_engineer_{USER_HASH}} — өткен жағдайда беріледі.
^flag\{detection_engineering_[a-f0-9]{16}\}$Платные подсказки. Открывайте, если действительно нужно. / Ақылы кеңестер. Шынымен қажет болса ашыңыз.
RU: Задача о написании KQL-правила для конкретной MITRE-техники, описанной в брифе.
KK: Брифте сипатталған нақты MITRE техникасы үшін KQL ережесін жазу туралы тапсырма.
RU: KQL — не SQL и не Splunk-SPL; синтаксис свой. Класс — фильтрация Windows Security events по EventID и характерным полям. Глобальный wildcard поймает всё; нужна композиция.
KK: KQL — SQL және Splunk SPL емес; синтаксис өзіндік. Класс — EventID және characteristic өрістер бойынша Windows Security events сүзу. Глобалды wildcard барлығын ұстайды; композиция қажет.