🥇Sysmon አሁን የቅንጥብ ሰሌዳውን ይዘቶች መቅዳት ይችላል

የSysmon ስሪት 12 መውጣቱ በሴፕቴምበር 17 ቀን ተገለጸ Sysinternals ገጽ. እንደውም በዚህ ቀን አዳዲስ የፕሮሰስ ሞኒተር እና ፕሮክዱምፕ ስሪቶችም ተለቀቁ። በዚህ ጽሑፍ ውስጥ ስለ Sysmon ስሪት 12 ቁልፍ እና አወዛጋቢ ፈጠራ እናገራለሁ - የክስተት መታወቂያ 24 ያለው የክስተቶች ዓይነት ፣ ከቅንጥብ ሰሌዳው ጋር አብሮ የገባበት።

የዚህ ዓይነቱ ክስተት መረጃ አጠራጣሪ እንቅስቃሴዎችን (እንዲሁም አዲስ ተጋላጭነትን) ለመቆጣጠር አዳዲስ እድሎችን ይከፍታል. ስለዚህ, ማን, የት እና ምን በትክክል ለመቅዳት እንደሞከሩ መረዳት ይችላሉ. ከመቁረጡ በታች የአንዳንድ የአዲሱ ክስተት መስኮች እና ሁለት የአጠቃቀም ጉዳዮች መግለጫ ነው።

አዲሱ ክስተት የሚከተሉትን መስኮች ይዟል:

ምስል መረጃ ወደ ቅንጥብ ሰሌዳው የተጻፈበት ሂደት.
ክፍለ ጊዜ: ክሊፕቦርዱ የተጻፈበት ክፍለ ጊዜ. ስርዓት (0) ሊሆን ይችላል
በመስመር ላይ ወይም በርቀት ሲሰሩ, ወዘተ.
የደንበኛ መረጃ፡ የክፍለ ጊዜው ተጠቃሚ ስም እና በርቀት ክፍለ ጊዜ ከሆነ ዋናውን የአስተናጋጅ ስም እና የአይፒ አድራሻ ይዟል።
ሃሽ የተቀዳው ጽሑፍ የተቀመጠበትን የፋይል ስም ይወስናል (ከፋይልDelete አይነት ክስተቶች ጋር ተመሳሳይ)።
በማህደር የተቀመጠ ሁኔታ፣ ከቅንጥብ ሰሌዳው ላይ ያለው ጽሑፍ በSysmon archive ማውጫ ውስጥ ተቀምጦ እንደሆነ።

የመጨረሻዎቹ ሁለት መስኮች አስደንጋጭ ናቸው። እውነታው ግን ከስሪት 11 ሲይሞን (በተገቢው መቼት) የተለያዩ መረጃዎችን ወደ ማህደሩ ማውጫው ማስቀመጥ ይችላል። ለምሳሌ፣ የክስተት መታወቂያ 23 የምዝግብ ማስታወሻዎች ስረዛ ክስተቶችን እና ሁሉንም በተመሳሳይ የማህደር መዝገብ ውስጥ ማስቀመጥ ይችላል። የ CLIP መለያ ከቅንጥብ ሰሌዳ ጋር በመስራት ምክንያት በተፈጠሩት ፋይሎች ስም ላይ ተጨምሯል። ፋይሎቹ እራሳቸው ወደ ቅንጥብ ሰሌዳው የተቀዳውን ትክክለኛ መረጃ ይይዛሉ።

የተቀመጠው ፋይል ይህን ይመስላል

በመጫን ጊዜ ወደ ፋይል ማስቀመጥ ነቅቷል። ጽሑፍ የማይቀመጥባቸው ነጭ የሂደቶች ዝርዝሮችን ማዘጋጀት ይችላሉ።

የSysmon ጭነት ከተገቢው የማህደር ማውጫ ቅንጅቶች ጋር ይህን ይመስላል።

እዚህ, እንደማስበው, እንዲሁም የቅንጥብ ሰሌዳውን የሚጠቀሙ የይለፍ ቃል አስተዳዳሪዎችን ማስታወስ ጠቃሚ ነው. በይለፍ ቃል አቀናባሪ ሲስተም ላይ ሲሰሞን መኖሩ እርስዎ (ወይም አጥቂ) የይለፍ ቃሎቹን እንዲይዙ ይፈቅድልዎታል። የተቀዳውን ጽሑፍ የትኛው ሂደት እንደሚመድበው ያውቃሉ (እና ይህ ሁልጊዜ የይለፍ ቃል አቀናባሪ ሂደት አይደለም ፣ ግን ምናልባት አንዳንድ svchost) ፣ ይህ ልዩ ሁኔታ ወደ ነጭ ዝርዝር ሊጨመር እና ሊቀመጥ አይችልም።

ላያውቁ ይችላሉ፣ ነገር ግን ከቅንጥብ ሰሌዳው ላይ ያለው ጽሑፍ በRDP ክፍለ ጊዜ ሁነታ ወደ እሱ ሲቀይሩ በርቀት አገልጋዩ ይያዛል። በቅንጥብ ሰሌዳህ ላይ የሆነ ነገር ካለህ እና በRDP ክፍለ ጊዜዎች መካከል ከቀያየርህ መረጃው አብሮህ ይሄዳል።

ከቅንጥብ ሰሌዳው ጋር ለመስራት የSysmonን ችሎታዎች እናጠቃልል።

ቋሚ፡

በ RDP እና በአካባቢው የተለጠፈ ጽሑፍ የጽሑፍ ቅጂ;
መረጃን ከቅንጥብ ሰሌዳው ላይ በተለያዩ መገልገያዎች/ሂደቶች ይያዙ;
ምንም እንኳን ይህ ጽሑፍ ገና ያልተለጠፈ ቢሆንም ከ/ ወደ አካባቢያዊው ምናባዊ ማሽን ጽሑፍ ይቅዱ/ለጥፉ።

ያልተመዘገበ፡

ፋይሎችን ከ / ወደ አካባቢያዊ ምናባዊ ማሽን መቅዳት / መለጠፍ;
ፋይሎችን በ RDP በኩል ይቅዱ/ይለጥፉ
የእርስዎን ቅንጥብ ሰሌዳ የሚጠልፍ ማልዌር የሚጽፈው ወደ ቅንጥብ ሰሌዳው ብቻ ነው።

ምንም እንኳን ግልጽነት ቢኖረውም, የዚህ ዓይነቱ ክስተት የአጥቂውን የእርምጃዎች ስልተ-ቀመር እንዲመልሱ እና ከጥቃቶች በኋላ ድህረ-ሟቾችን ለመፍጠር ቀደም ሲል ተደራሽ ያልሆኑ መረጃዎችን ለመለየት ይረዳዎታል. ይዘትን ወደ ቅንጥብ ሰሌዳው መፃፍ አሁንም ከነቃ፣ እያንዳንዱን የማህደር መዝገብ ቤት መዳረሻ መመዝገብ እና አደገኛ ሊሆኑ የሚችሉትን መለየት አስፈላጊ ነው (በsysmon.exe ያልተጀመረ)።

ከላይ የተዘረዘሩትን ክስተቶች ለመቅዳት, ለመተንተን እና ምላሽ ለመስጠት መሳሪያውን መጠቀም ይችላሉ መታመንሦስቱንም አቀራረቦች አጣምሮ የያዘ እና በተጨማሪም፣ የተሰበሰበ ጥሬ መረጃ ሁሉ ውጤታማ የሆነ የተማከለ ማከማቻ ነው። ጥሬ መረጃን ማቀናበር እና ማከማቸት ወደ InTrust በማስተላለፍ የፈቃዳቸውን ወጪ ለመቀነስ ከታዋቂ የSIEM ስርዓቶች ጋር ውህደቱን ማዋቀር እንችላለን።

ስለ InTrust የበለጠ ለማወቅ፣ ያለፉትን ጽሑፎቻችንን ያንብቡ ወይም በአስተያየት ቅጹ ውስጥ ጥያቄ ይተዉ.

የSIEM ስርዓት የባለቤትነት ዋጋ እንዴት እንደሚቀንስ እና ለምን ማዕከላዊ ሎግ አስተዳደር (ሲ.ኤል.ኤል.ኤም.) ያስፈልግዎታል

በዊንዶውስ ውስጥ አጠራጣሪ ሂደቶችን ስለመጀመር የክስተቶችን ስብስብ እናነቃለን እና Quest InTrustን በመጠቀም አደጋዎችን እንለያለን

InTrust በRDP በኩል ያልተሳኩ የፍቃድ ሙከራዎችን መጠን ለመቀነስ እንዴት እንደሚያግዝ

የራንሰምዌር ጥቃትን አግኝተናል፣ ወደ ጎራ መቆጣጠሪያው መድረስ እና እነዚህን ጥቃቶች ለመቋቋም እንሞክራለን።

በዊንዶውስ ላይ የተመሰረተ የስራ ጣቢያ ከምዝግብ ማስታወሻዎች ምን ጠቃሚ ነገሮች ሊወጡ ይችላሉ? (ታዋቂ መጣጥፍ)

ማን ነው ያደረገው? የመረጃ ደህንነት ኦዲቶችን በራስ ሰር እንሰራለን።

ምንጭ: hab.com