ProHoster > Blag > Riarachán > Is féidir le Sysmon ábhar gearrthaisce a scríobh anois

Is féidir le Sysmon ábhar gearrthaisce a scríobh anois

Fógraíodh scaoileadh leagan 12 de Sysmon ar 17 Meán Fómhair ag Leathanach Sysinternals. Go deimhin, eisíodh leaganacha nua de Process Monitor agus ProcDump ar an lá seo freisin. San Airteagal seo labhróidh mé faoi nuálaíocht thábhachtach agus chonspóideach leagan 12 de Sysmon - an cineál imeachtaí le Event ID 24, ina bhfuil obair leis an gearrthaisce logáilte isteach.

Is féidir le Sysmon ábhar gearrthaisce a scríobh anois

Osclaíonn faisnéis ón gcineál seo imeachta deiseanna nua chun monatóireacht a dhéanamh ar ghníomhaíocht amhrasach (chomh maith le leochaileachtaí nua). Mar sin, is féidir leat a thuiscint cé hé, cén áit agus cad go díreach a rinne siad iarracht a chóipeáil. Anseo thíos tá cur síos ar réimsí áirithe den imeacht nua agus cúpla cás úsáide.

Tá na réimsí seo a leanas san imeacht nua:

Íomhá: an próiseas ónar scríobhadh sonraí chuig an ngearrthaisce.
Seisiún: an seisiún inar scríobhadh an ghearrthaisce. D'fhéadfadh córas(0) a bheith ann
nuair a bhíonn tú ag obair ar líne nó go cianda, etc.
Eolas Cliant: ina bhfuil ainm úsáideora an tseisiúin agus, i gcás ciansheisiúin, an t-óstainm bunaidh agus an seoladh IP bunaidh, má tá fáil orthu.
hashes: a chinneann ainm an chomhaid inar sábháladh an téacs cóipeáilte (cosúil le bheith ag obair le himeachtaí den chineál FileDelete).
Cartlannaithe: stádas, cibé acu ar sábháladh an téacs ón ngearrthaisce in eolaire cartlainne Sysmon.

Tá an cúpla réimse deireanach scanrúil. Is é fírinne an scéil gur féidir le leagan 11 Sysmon (le socruithe cuí) sonraí éagsúla a shábháil ar a eolaire cartlainne. Mar shampla, logálann Event ID 23 imeachtaí scriosta comhad agus féadann sé iad go léir a shábháil san eolaire cartlainne céanna. Cuirtear an chlib CLIP le hainm na gcomhad a cruthaíodh mar thoradh ar oibriú leis an gearrthaisce. Sna comhaid féin tá na sonraí cruinne a cóipeáladh chuig an ngearrthaisce.

Seo an chuma atá ar an gcomhad sábháilte
Is féidir le Sysmon ábhar gearrthaisce a scríobh anois

Cumasaítear sábháil go comhad le linn na suiteála. Is féidir leat liostaí bána de phróisis a shocrú nach sábhálfar téacs ina leith.

Seo an chuma atá ar shuiteáil Sysmon leis na socruithe eolaire cartlainne cuí:
Is féidir le Sysmon ábhar gearrthaisce a scríobh anois

Anseo, dar liom, is fiú cuimhneamh ar bhainisteoirí pasfhocail a úsáideann an gearrthaisce freisin. Má bhíonn Sysmon ar chóras le bainisteoir pasfhocail ligfidh sé duit (nó d'ionsaitheoir) na pasfhocail sin a ghabháil. Ag glacadh leis go bhfuil a fhios agat cén próiseas atá ag leithdháileadh an téacs cóipeáilte (agus ní próiseas bainisteoir phasfhocal é seo i gcónaí, ach b'fhéidir roinnt svchost), is féidir an eisceacht seo a chur leis an liosta bán agus ní shábháil é.

B’fhéidir nach bhfuil a fhios agat, ach glacann an cianfhreastalaí an téacs ón ngearrthaisce nuair a aistríonn tú chuige i mód seisiúin RDP. Má tá rud éigin ar do ghearrthaisce agus má aistríonn tú idir seisiúin RDP, rachaidh an fhaisnéis sin leat.

Déanaimis achoimre ar chumais Sysmon maidir le bheith ag obair leis an gearrthaisce.

Seasta:

  • Cóip téacs de théacs greamaithe tríd an RDP agus go háitiúil;
  • Sonraí a ghabháil ón ngearrthaisce trí fhóntais/phróisis éagsúla;
  • Cóipeáil/greamaigh téacs ó/chuig an meaisín fíorúil áitiúil, fiú mura bhfuil an téacs seo greamaithe fós.

Gan taifeadadh:

  • Comhaid a chóipeáil/a ghreamú ó/chuig meaisín fíorúil áitiúil;
  • Cóipeáil / greamaigh comhaid trí RDP
  • Ní scríobhann malware a dhéanann fuadach do ghearrthaisce ach chuig an ngearrthaisce féin.

In ainneoin a dhébhrí, ligfidh an cineál seo imeachta duit algartam gníomhartha an ionsaitheora a athbhunú agus cabhróidh sé le sonraí nach raibh rochtain orthu roimhe seo a shainaithint le haghaidh foirmiú iarbháis tar éis ionsaithe. Má tá ábhar a scríobh chuig an ngearrthaisce fós cumasaithe, tá sé tábhachtach gach rochtain ar an eolaire cartlainne a thaifeadadh agus cinn a d’fhéadfadh a bheith contúirteach a aithint (nár thionscain sysmon.exe).

Chun na himeachtaí atá liostaithe thuas a thaifeadadh, a anailísiú agus freagairt dóibh, is féidir leat an uirlis a úsáid Iontaobhas, a chomhcheanglaíonn na trí chur chuige agus, ina theannta sin, atá ina stór éifeachtach láraithe de na sonraí amhábhar go léir a bhailítear. Is féidir linn a chomhtháthú le córais SIEM móréilimh a chumrú chun costas a gceadúnaithe a íoslaghdú trí phróiseáil agus stóráil sonraí amh a aistriú chuig InTrust.

Chun tuilleadh a fhoghlaim faoi InTrust, léigh ár n-alt roimhe seo nó iarratas a fhágáil san fhoirm aiseolais.

Conas an costas úinéireachta ar chóras SIEM a laghdú agus cén fáth a dteastaíonn Bainistíocht Logchomhaid Láir (CLM) uait

Cuirimid ar chumas bailiú imeachtaí faoi sheoladh próisis amhrasacha i Windows agus aithnímid bagairtí ag baint úsáide as Quest InTrust

Conas is féidir le InTrust cabhrú le ráta na n-iarrachtaí údaraithe teipthe a laghdú trí RDP

Brathaimid ionsaí earraí ransom, faighimid rochtain ar an rialtóir fearainn agus déanaimid iarracht cur i gcoinne na n-ionsaithe seo

Cad is féidir a bheith úsáideach ó logaí stáisiún oibre bunaithe ar Windows OS (alt coitianta)

Agus cé a rinne é? Déanaimid iniúchadh slándála faisnéise a uathoibriú

Foinse: will.com

Add a comment