የSysmon ስሪት 12 መውጣቱ በሴፕቴምበር 17 ቀን ተገለጸ
የዚህ ዓይነቱ ክስተት መረጃ አጠራጣሪ እንቅስቃሴዎችን (እንዲሁም አዲስ ተጋላጭነትን) ለመቆጣጠር አዳዲስ እድሎችን ይከፍታል. ስለዚህ, ማን, የት እና ምን በትክክል ለመቅዳት እንደሞከሩ መረዳት ይችላሉ. ከመቁረጡ በታች የአንዳንድ የአዲሱ ክስተት መስኮች እና ሁለት የአጠቃቀም ጉዳዮች መግለጫ ነው።
አዲሱ ክስተት የሚከተሉትን መስኮች ይዟል:
ምስል መረጃ ወደ ቅንጥብ ሰሌዳው የተጻፈበት ሂደት.
ክፍለ ጊዜ: ክሊፕቦርዱ የተጻፈበት ክፍለ ጊዜ. ስርዓት (0) ሊሆን ይችላል
በመስመር ላይ ወይም በርቀት ሲሰሩ, ወዘተ.
የደንበኛ መረጃ፡ የክፍለ ጊዜው ተጠቃሚ ስም እና በርቀት ክፍለ ጊዜ ከሆነ ዋናውን የአስተናጋጅ ስም እና የአይፒ አድራሻ ይዟል።
ሃሽ የተቀዳው ጽሑፍ የተቀመጠበትን የፋይል ስም ይወስናል (ከፋይልDelete አይነት ክስተቶች ጋር ተመሳሳይ)።
በማህደር የተቀመጠ ሁኔታ፣ ከቅንጥብ ሰሌዳው ላይ ያለው ጽሑፍ በSysmon archive ማውጫ ውስጥ ተቀምጦ እንደሆነ።
የመጨረሻዎቹ ሁለት መስኮች አስደንጋጭ ናቸው። እውነታው ግን ከስሪት 11 ሲይሞን (በተገቢው መቼት) የተለያዩ መረጃዎችን ወደ ማህደሩ ማውጫው ማስቀመጥ ይችላል። ለምሳሌ፣ የክስተት መታወቂያ 23 የምዝግብ ማስታወሻዎች ስረዛ ክስተቶችን እና ሁሉንም በተመሳሳይ የማህደር መዝገብ ውስጥ ማስቀመጥ ይችላል። የ CLIP መለያ ከቅንጥብ ሰሌዳ ጋር በመስራት ምክንያት በተፈጠሩት ፋይሎች ስም ላይ ተጨምሯል። ፋይሎቹ እራሳቸው ወደ ቅንጥብ ሰሌዳው የተቀዳውን ትክክለኛ መረጃ ይይዛሉ።
የተቀመጠው ፋይል ይህን ይመስላል
በመጫን ጊዜ ወደ ፋይል ማስቀመጥ ነቅቷል። ጽሑፍ የማይቀመጥባቸው ነጭ የሂደቶች ዝርዝሮችን ማዘጋጀት ይችላሉ።
የSysmon ጭነት ከተገቢው የማህደር ማውጫ ቅንጅቶች ጋር ይህን ይመስላል።
እዚህ, እንደማስበው, እንዲሁም የቅንጥብ ሰሌዳውን የሚጠቀሙ የይለፍ ቃል አስተዳዳሪዎችን ማስታወስ ጠቃሚ ነው. በይለፍ ቃል አቀናባሪ ሲስተም ላይ ሲሰሞን መኖሩ እርስዎ (ወይም አጥቂ) የይለፍ ቃሎቹን እንዲይዙ ይፈቅድልዎታል። የተቀዳውን ጽሑፍ የትኛው ሂደት እንደሚመድበው ያውቃሉ (እና ይህ ሁልጊዜ የይለፍ ቃል አቀናባሪ ሂደት አይደለም ፣ ግን ምናልባት አንዳንድ svchost) ፣ ይህ ልዩ ሁኔታ ወደ ነጭ ዝርዝር ሊጨመር እና ሊቀመጥ አይችልም።
ላያውቁ ይችላሉ፣ ነገር ግን ከቅንጥብ ሰሌዳው ላይ ያለው ጽሑፍ በRDP ክፍለ ጊዜ ሁነታ ወደ እሱ ሲቀይሩ በርቀት አገልጋዩ ይያዛል። በቅንጥብ ሰሌዳህ ላይ የሆነ ነገር ካለህ እና በRDP ክፍለ ጊዜዎች መካከል ከቀያየርህ መረጃው አብሮህ ይሄዳል።
ከቅንጥብ ሰሌዳው ጋር ለመስራት የSysmonን ችሎታዎች እናጠቃልል።
ቋሚ፡
- በ RDP እና በአካባቢው የተለጠፈ ጽሑፍ የጽሑፍ ቅጂ;
- መረጃን ከቅንጥብ ሰሌዳው ላይ በተለያዩ መገልገያዎች/ሂደቶች ይያዙ;
- ምንም እንኳን ይህ ጽሑፍ ገና ያልተለጠፈ ቢሆንም ከ/ ወደ አካባቢያዊው ምናባዊ ማሽን ጽሑፍ ይቅዱ/ለጥፉ።
ያልተመዘገበ፡
- ፋይሎችን ከ / ወደ አካባቢያዊ ምናባዊ ማሽን መቅዳት / መለጠፍ;
- ፋይሎችን በ RDP በኩል ይቅዱ/ይለጥፉ
- የእርስዎን ቅንጥብ ሰሌዳ የሚጠልፍ ማልዌር የሚጽፈው ወደ ቅንጥብ ሰሌዳው ብቻ ነው።
ምንም እንኳን ግልጽነት ቢኖረውም, የዚህ ዓይነቱ ክስተት የአጥቂውን የእርምጃዎች ስልተ-ቀመር እንዲመልሱ እና ከጥቃቶች በኋላ ድህረ-ሟቾችን ለመፍጠር ቀደም ሲል ተደራሽ ያልሆኑ መረጃዎችን ለመለየት ይረዳዎታል. ይዘትን ወደ ቅንጥብ ሰሌዳው መፃፍ አሁንም ከነቃ፣ እያንዳንዱን የማህደር መዝገብ ቤት መዳረሻ መመዝገብ እና አደገኛ ሊሆኑ የሚችሉትን መለየት አስፈላጊ ነው (በsysmon.exe ያልተጀመረ)።
ከላይ የተዘረዘሩትን ክስተቶች ለመቅዳት, ለመተንተን እና ምላሽ ለመስጠት መሳሪያውን መጠቀም ይችላሉ
ስለ InTrust የበለጠ ለማወቅ፣ ያለፉትን ጽሑፎቻችንን ያንብቡ ወይም