ಈ ಲೇಖನವು Sysmon ಬೆದರಿಕೆ ವಿಶ್ಲೇಷಣೆಯ ಸರಣಿಯ ಮೊದಲ ಭಾಗವಾಗಿದೆ. ಸರಣಿಯ ಎಲ್ಲಾ ಇತರ ಭಾಗಗಳು:
ಭಾಗ 1: ಸಿಸ್ಮನ್ ಲಾಗ್ ಅನಾಲಿಸಿಸ್ ಪರಿಚಯ (ನಾವು ಇಲ್ಲಿ ಇದ್ದೇವೆ)
ಭಾಗ 2: ಬೆದರಿಕೆಗಳನ್ನು ಗುರುತಿಸಲು Sysmon ಈವೆಂಟ್ ಡೇಟಾವನ್ನು ಬಳಸುವುದು
ಭಾಗ 3. ಗ್ರಾಫ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು Sysmon ಬೆದರಿಕೆಗಳ ಆಳವಾದ ವಿಶ್ಲೇಷಣೆ
ನೀವು ಮಾಹಿತಿ ಭದ್ರತೆಯಲ್ಲಿ ಕೆಲಸ ಮಾಡುತ್ತಿದ್ದರೆ, ನೀವು ಆಗಾಗ್ಗೆ ನಡೆಯುತ್ತಿರುವ ದಾಳಿಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಬೇಕು. ನೀವು ಈಗಾಗಲೇ ತರಬೇತಿ ಪಡೆದ ಕಣ್ಣನ್ನು ಹೊಂದಿದ್ದರೆ, "ಕಚ್ಚಾ" ಸಂಸ್ಕರಿಸದ ಲಾಗ್ಗಳಲ್ಲಿ ನೀವು ಪ್ರಮಾಣಿತವಲ್ಲದ ಚಟುವಟಿಕೆಯನ್ನು ನೋಡಬಹುದು - ಹೇಳಿ, ಪವರ್ಶೆಲ್ ಸ್ಕ್ರಿಪ್ಟ್ ಚಾಲನೆಯಲ್ಲಿದೆ
Sysmon ಲಾಗ್ನಲ್ಲಿ ಪ್ರದರ್ಶಿಸಲಾದ ಬೆದರಿಕೆಗಳ ಹಿಂದಿನ ಮೂಲಭೂತ ವಿಚಾರಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಬಯಸುವಿರಾ? ನಮ್ಮ ಮಾರ್ಗದರ್ಶಿ ಡೌನ್ಲೋಡ್ ಮಾಡಿ
ನಮ್ಮ ಸರಣಿಯ ಮೊದಲ ಭಾಗದಲ್ಲಿ, Sysmon ನಿಂದ ಮೂಲಭೂತ ಮಾಹಿತಿಯೊಂದಿಗೆ ನೀವು ಏನು ಮಾಡಬಹುದು ಎಂಬುದನ್ನು ನಾವು ನೋಡುತ್ತೇವೆ. ಭಾಗ XNUMX ರಲ್ಲಿ, ಬೆದರಿಕೆ ಗ್ರಾಫ್ಗಳೆಂದು ಕರೆಯಲ್ಪಡುವ ಹೆಚ್ಚು ಸಂಕೀರ್ಣವಾದ ಅನುಸರಣೆ ರಚನೆಗಳನ್ನು ರಚಿಸಲು ನಾವು ಪೋಷಕ ಪ್ರಕ್ರಿಯೆಯ ಮಾಹಿತಿಯ ಸಂಪೂರ್ಣ ಪ್ರಯೋಜನವನ್ನು ಪಡೆದುಕೊಳ್ಳುತ್ತೇವೆ. ಮೂರನೇ ಭಾಗದಲ್ಲಿ, ಗ್ರಾಫ್ನ "ತೂಕ" ವನ್ನು ವಿಶ್ಲೇಷಿಸುವ ಮೂಲಕ ಅಸಾಮಾನ್ಯ ಚಟುವಟಿಕೆಯನ್ನು ಹುಡುಕಲು ಬೆದರಿಕೆ ಗ್ರಾಫ್ ಅನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುವ ಸರಳ ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ನಾವು ನೋಡುತ್ತೇವೆ. ಮತ್ತು ಕೊನೆಯಲ್ಲಿ, ನೀವು ಅಚ್ಚುಕಟ್ಟಾಗಿ (ಮತ್ತು ಅರ್ಥವಾಗುವ) ಸಂಭವನೀಯ ಬೆದರಿಕೆ ಪತ್ತೆ ವಿಧಾನದೊಂದಿಗೆ ಬಹುಮಾನ ಪಡೆಯುತ್ತೀರಿ.
ಭಾಗ 1: ಸಿಸ್ಮನ್ ಲಾಗ್ ಅನಾಲಿಸಿಸ್ ಪರಿಚಯ
ಈವೆಂಟ್ ಲಾಗ್ನ ಸಂಕೀರ್ಣತೆಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ನಿಮಗೆ ಯಾವುದು ಸಹಾಯ ಮಾಡುತ್ತದೆ? ಅಂತಿಮವಾಗಿ - SIEM. ಇದು ಘಟನೆಗಳನ್ನು ಸಾಮಾನ್ಯಗೊಳಿಸುತ್ತದೆ ಮತ್ತು ಅವುಗಳ ನಂತರದ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಸರಳಗೊಳಿಸುತ್ತದೆ. ಆದರೆ ನಾವು ಅಷ್ಟು ದೂರ ಹೋಗಬೇಕಾಗಿಲ್ಲ, ಕನಿಷ್ಠ ಮೊದಲಿಗಾದರೂ. ಆರಂಭದಲ್ಲಿ, SIEM ನ ತತ್ವಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು, ಅದ್ಭುತವಾದ ಉಚಿತ Sysmon ಉಪಯುಕ್ತತೆಯನ್ನು ಪ್ರಯತ್ನಿಸಲು ಸಾಕು. ಮತ್ತು ಅವಳು ಕೆಲಸ ಮಾಡಲು ಆಶ್ಚರ್ಯಕರವಾಗಿ ಸುಲಭ. ಇದನ್ನು ಮುಂದುವರಿಸಿ, ಮೈಕ್ರೋಸಾಫ್ಟ್!
Sysmon ಯಾವ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಹೊಂದಿದೆ?
ಸಂಕ್ಷಿಪ್ತವಾಗಿ - ಪ್ರಕ್ರಿಯೆಗಳ ಬಗ್ಗೆ ಉಪಯುಕ್ತ ಮತ್ತು ಓದಬಹುದಾದ ಮಾಹಿತಿ (ಕೆಳಗಿನ ಚಿತ್ರಗಳನ್ನು ನೋಡಿ). ವಿಂಡೋಸ್ ಈವೆಂಟ್ ಲಾಗ್ನಲ್ಲಿಲ್ಲದ ಉಪಯುಕ್ತ ವಿವರಗಳ ಗುಂಪನ್ನು ನೀವು ಕಾಣಬಹುದು, ಆದರೆ ಪ್ರಮುಖವಾದವು ಈ ಕೆಳಗಿನ ಕ್ಷೇತ್ರಗಳಾಗಿವೆ:
- ಪ್ರಕ್ರಿಯೆ ID (ದಶಮಾಂಶದಲ್ಲಿ, ಹೆಕ್ಸ್ ಅಲ್ಲ!)
- ಪೋಷಕ ಪ್ರಕ್ರಿಯೆ ID
- ಪ್ರಕ್ರಿಯೆ ಆಜ್ಞಾ ಸಾಲಿನ
- ಪೋಷಕ ಪ್ರಕ್ರಿಯೆಯ ಕಮಾಂಡ್ ಲೈನ್
- ಫೈಲ್ ಇಮೇಜ್ ಹ್ಯಾಶ್
- ಫೈಲ್ ಚಿತ್ರದ ಹೆಸರುಗಳು
Sysmon ಅನ್ನು ಸಾಧನ ಚಾಲಕವಾಗಿ ಮತ್ತು ಸೇವೆಯಾಗಿ ಸ್ಥಾಪಿಸಲಾಗಿದೆ - ಹೆಚ್ಚಿನ ವಿವರಗಳು
ಆಧಾರವಾಗಿರುವ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಸಹಾಯ ಮಾಡಲು ಉಪಯುಕ್ತ (ಅಥವಾ ಮಾರಾಟಗಾರರು ಹೇಳಲು ಇಷ್ಟಪಡುವಂತೆ, ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ) ಮಾಹಿತಿಯನ್ನು ಒದಗಿಸುವ ಮೂಲಕ ಸಿಸ್ಮನ್ ಕ್ವಾಂಟಮ್ ಲೀಪ್ ಫಾರ್ವರ್ಡ್ ಅನ್ನು ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, ನಾನು ರಹಸ್ಯ ಅಧಿವೇಶನವನ್ನು ಪ್ರಾರಂಭಿಸಿದೆ
ವಿಂಡೋಸ್ ಲಾಗ್ ಪ್ರಕ್ರಿಯೆಯ ಬಗ್ಗೆ ಕೆಲವು ಮಾಹಿತಿಯನ್ನು ತೋರಿಸುತ್ತದೆ, ಆದರೆ ಇದು ಕಡಿಮೆ ಬಳಕೆಯಾಗಿದೆ. ಜೊತೆಗೆ ಪ್ರಕ್ರಿಯೆ ಐಡಿಗಳು ಹೆಕ್ಸಾಡೆಸಿಮಲ್ನಲ್ಲಿ???
ಹ್ಯಾಕಿಂಗ್ನ ಮೂಲಭೂತ ಅಂಶಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವ ವೃತ್ತಿಪರ ಐಟಿ ವೃತ್ತಿಪರರಿಗೆ, ಆಜ್ಞಾ ಸಾಲಿನ ಅನುಮಾನಾಸ್ಪದವಾಗಿರಬೇಕು. cmd.exe ಅನ್ನು ಬಳಸಿಕೊಂಡು ಮತ್ತೊಂದು ಆಜ್ಞೆಯನ್ನು ಚಲಾಯಿಸಲು ಮತ್ತು ಔಟ್ಪುಟ್ ಅನ್ನು ವಿಚಿತ್ರ ಹೆಸರಿನ ಫೈಲ್ಗೆ ಮರುನಿರ್ದೇಶಿಸುವುದು ಮೇಲ್ವಿಚಾರಣೆ ಮತ್ತು ನಿಯಂತ್ರಣ ಸಾಫ್ಟ್ವೇರ್ನ ಕ್ರಿಯೆಗಳಿಗೆ ಸ್ಪಷ್ಟವಾಗಿ ಹೋಲುತ್ತದೆ
ಈಗ ನಾವು Sysmon ಪ್ರವೇಶ ಸಮಾನವನ್ನು ನೋಡೋಣ, ಅದು ನಮಗೆ ಎಷ್ಟು ಹೆಚ್ಚುವರಿ ಮಾಹಿತಿಯನ್ನು ನೀಡುತ್ತದೆ ಎಂಬುದನ್ನು ಗಮನಿಸಿ:
ಒಂದು ಸ್ಕ್ರೀನ್ಶಾಟ್ನಲ್ಲಿ Sysmon ವೈಶಿಷ್ಟ್ಯಗಳು: ಓದಬಹುದಾದ ರೂಪದಲ್ಲಿ ಪ್ರಕ್ರಿಯೆಯ ಬಗ್ಗೆ ವಿವರವಾದ ಮಾಹಿತಿ
ನೀವು ಕಮಾಂಡ್ ಲೈನ್ ಅನ್ನು ಮಾತ್ರ ನೋಡುವುದಿಲ್ಲ, ಆದರೆ ಫೈಲ್ ಹೆಸರು, ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಅಪ್ಲಿಕೇಶನ್ನ ಮಾರ್ಗ, ಅದರ ಬಗ್ಗೆ ವಿಂಡೋಸ್ ಏನು ತಿಳಿದಿದೆ ("ವಿಂಡೋಸ್ ಕಮಾಂಡ್ ಪ್ರೊಸೆಸರ್"), ಗುರುತಿಸುವಿಕೆ ಪೋಷಕರ ಪ್ರಕ್ರಿಯೆ, ಆಜ್ಞಾ ಸಾಲಿನ ಪೋಷಕ, ಇದು cmd ಶೆಲ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಿತು, ಜೊತೆಗೆ ಮೂಲ ಪ್ರಕ್ರಿಯೆಯ ನೈಜ ಫೈಲ್ ಹೆಸರು. ಎಲ್ಲವೂ ಒಂದೇ ಸ್ಥಳದಲ್ಲಿ, ಅಂತಿಮವಾಗಿ!
ಸಿಸ್ಮನ್ ಲಾಗ್ನಿಂದ ನಾವು ಹೆಚ್ಚಿನ ಮಟ್ಟದ ಸಂಭವನೀಯತೆಯೊಂದಿಗೆ "ಕಚ್ಚಾ" ಲಾಗ್ಗಳಲ್ಲಿ ನೋಡಿದ ಈ ಅನುಮಾನಾಸ್ಪದ ಆಜ್ಞಾ ಸಾಲಿನ ಉದ್ಯೋಗಿಯ ಸಾಮಾನ್ಯ ಕೆಲಸದ ಫಲಿತಾಂಶವಲ್ಲ ಎಂದು ನಾವು ತೀರ್ಮಾನಿಸಬಹುದು. ಇದಕ್ಕೆ ತದ್ವಿರುದ್ಧವಾಗಿ, ಇದು C2 ತರಹದ ಪ್ರಕ್ರಿಯೆಯಿಂದ ರಚಿಸಲ್ಪಟ್ಟಿದೆ - wmiexec, ನಾನು ಮೊದಲೇ ಹೇಳಿದಂತೆ - ಮತ್ತು ನೇರವಾಗಿ WMI ಸೇವಾ ಪ್ರಕ್ರಿಯೆಯಿಂದ (WmiPrvSe) ಹುಟ್ಟಿಕೊಂಡಿತು. ರಿಮೋಟ್ ಆಕ್ರಮಣಕಾರರು ಅಥವಾ ಒಳಗಿನವರು ಕಾರ್ಪೊರೇಟ್ ಮೂಲಸೌಕರ್ಯವನ್ನು ಪರೀಕ್ಷಿಸುತ್ತಿದ್ದಾರೆ ಎಂಬ ಸೂಚಕವನ್ನು ಈಗ ನಾವು ಹೊಂದಿದ್ದೇವೆ.
Get-Sysmonlogs ಅನ್ನು ಪರಿಚಯಿಸಲಾಗುತ್ತಿದೆ
Sysmon ಒಂದೇ ಸ್ಥಳದಲ್ಲಿ ಲಾಗ್ಗಳನ್ನು ಇರಿಸಿದಾಗ ಅದು ಅದ್ಭುತವಾಗಿದೆ. ಆದರೆ ನಾವು ವೈಯಕ್ತಿಕ ಲಾಗ್ ಕ್ಷೇತ್ರಗಳನ್ನು ಪ್ರೋಗ್ರಾಮ್ಯಾಟಿಕ್ ಆಗಿ ಪ್ರವೇಶಿಸಿದರೆ ಅದು ಇನ್ನೂ ಉತ್ತಮವಾಗಿರುತ್ತದೆ - ಉದಾಹರಣೆಗೆ, ಪವರ್ಶೆಲ್ ಆಜ್ಞೆಗಳ ಮೂಲಕ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಸಂಭಾವ್ಯ ಬೆದರಿಕೆಗಳ ಹುಡುಕಾಟವನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸುವ ಸಣ್ಣ PowerShell ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ನೀವು ಬರೆಯಬಹುದು!
ಅಂತಹ ಕಲ್ಪನೆಯನ್ನು ಹೊಂದಲು ನಾನು ಮೊದಲಿಗನಲ್ಲ. ಮತ್ತು ಕೆಲವು ಫೋರಮ್ ಪೋಸ್ಟ್ಗಳು ಮತ್ತು GitHub ನಲ್ಲಿ ಇದು ಒಳ್ಳೆಯದು
ಮೊದಲ ಪ್ರಮುಖ ಅಂಶವೆಂದರೆ ತಂಡದ ಸಾಮರ್ಥ್ಯ
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
$events ರಚನೆಯ ಮೊದಲ ಅಂಶದಲ್ಲಿ ವಿಷಯವನ್ನು ಪ್ರದರ್ಶಿಸುವ ಮೂಲಕ ಆಜ್ಞೆಯನ್ನು ನೀವೇ ಪರೀಕ್ಷಿಸಲು ನೀವು ಬಯಸಿದರೆ, $events[0]. ಸಂದೇಶ, ಔಟ್ಪುಟ್ ತುಂಬಾ ಸರಳವಾದ ಸ್ವರೂಪದೊಂದಿಗೆ ಪಠ್ಯ ತಂತಿಗಳ ಸರಣಿಯಾಗಿರಬಹುದು: ಇದರ ಹೆಸರು ಸಿಸ್ಮನ್ ಕ್ಷೇತ್ರ, ಕೊಲೊನ್, ಮತ್ತು ನಂತರ ಮೌಲ್ಯವು ಸ್ವತಃ.
ಹುರ್ರೇ! JSON-ಸಿದ್ಧ ಸ್ವರೂಪಕ್ಕೆ Sysmon ಲಾಗ್ ಅನ್ನು ಔಟ್ಪುಟ್ ಮಾಡಲಾಗುತ್ತಿದೆ
ನೀವು ನನ್ನಂತೆಯೇ ಯೋಚಿಸುತ್ತಿದ್ದೀರಾ? ಸ್ವಲ್ಪ ಹೆಚ್ಚು ಪ್ರಯತ್ನದಿಂದ, ನೀವು ಔಟ್ಪುಟ್ ಅನ್ನು JSON ಫಾರ್ಮ್ಯಾಟ್ ಮಾಡಿದ ಸ್ಟ್ರಿಂಗ್ಗೆ ಪರಿವರ್ತಿಸಬಹುದು ಮತ್ತು ನಂತರ ಅದನ್ನು ಶಕ್ತಿಯುತ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು ನೇರವಾಗಿ PS ಆಬ್ಜೆಕ್ಟ್ಗೆ ಲೋಡ್ ಮಾಡಬಹುದು
ನಾನು ಪರಿವರ್ತನೆಗಾಗಿ ಪವರ್ಶೆಲ್ ಕೋಡ್ ಅನ್ನು ತೋರಿಸುತ್ತೇನೆ - ಇದು ತುಂಬಾ ಸರಳವಾಗಿದೆ - ಮುಂದಿನ ಭಾಗದಲ್ಲಿ. ಸದ್ಯಕ್ಕೆ, ನಾನು PS ಮಾಡ್ಯೂಲ್ ಆಗಿ ಸ್ಥಾಪಿಸಿದ get-sysmonlogs ಎಂಬ ನನ್ನ ಹೊಸ ಆಜ್ಞೆಯು ಏನು ಮಾಡಬಹುದೆಂದು ನೋಡೋಣ.
ಅನನುಕೂಲವಾದ ಈವೆಂಟ್ ಲಾಗ್ ಇಂಟರ್ಫೇಸ್ ಮೂಲಕ ಸಿಸ್ಮನ್ ಲಾಗ್ ವಿಶ್ಲೇಷಣೆಗೆ ಆಳವಾಗಿ ಮುಳುಗುವ ಬದಲು, ನಾವು ಪವರ್ಶೆಲ್ ಸೆಷನ್ನಿಂದ ನೇರವಾಗಿ ಹೆಚ್ಚುತ್ತಿರುವ ಚಟುವಟಿಕೆಯನ್ನು ಸಲೀಸಾಗಿ ಹುಡುಕಬಹುದು, ಹಾಗೆಯೇ PS ಆಜ್ಞೆಯನ್ನು ಬಳಸಬಹುದು.
WMI ಮೂಲಕ ಪ್ರಾರಂಭಿಸಲಾದ cmd ಶೆಲ್ಗಳ ಪಟ್ಟಿ. ನಮ್ಮ ಸ್ವಂತ ಗೆಟ್-ಸಿಸ್ಮನ್ಲಾಗ್ಸ್ ತಂಡದೊಂದಿಗೆ ಅಗ್ಗದಲ್ಲಿ ಬೆದರಿಕೆ ವಿಶ್ಲೇಷಣೆ
ಅದ್ಭುತ! Sysmon ಲಾಗ್ ಅನ್ನು ಡೇಟಾಬೇಸ್ನಂತೆ ಪೋಲ್ ಮಾಡಲು ನಾನು ಉಪಕರಣವನ್ನು ರಚಿಸಿದ್ದೇನೆ. ಬಗ್ಗೆ ನಮ್ಮ ಲೇಖನದಲ್ಲಿ
ಸಿಸ್ಮನ್ ಮತ್ತು ಗ್ರಾಫ್ ವಿಶ್ಲೇಷಣೆ
ನಾವು ಹಿಂದೆ ಸರಿಯೋಣ ಮತ್ತು ನಾವು ಈಗ ಏನು ರಚಿಸಿದ್ದೇವೆ ಎಂಬುದರ ಕುರಿತು ಯೋಚಿಸೋಣ. ಮೂಲಭೂತವಾಗಿ, ನಾವು ಈಗ ಪವರ್ಶೆಲ್ ಮೂಲಕ ಪ್ರವೇಶಿಸಬಹುದಾದ ವಿಂಡೋಸ್ ಈವೆಂಟ್ ಡೇಟಾಬೇಸ್ ಅನ್ನು ಹೊಂದಿದ್ದೇವೆ. ನಾನು ಮೊದಲೇ ಗಮನಿಸಿದಂತೆ, ದಾಖಲೆಗಳ ನಡುವೆ ಸಂಪರ್ಕಗಳು ಅಥವಾ ಸಂಬಂಧಗಳಿವೆ - ParentProcessId ಮೂಲಕ - ಆದ್ದರಿಂದ ಪ್ರಕ್ರಿಯೆಗಳ ಸಂಪೂರ್ಣ ಶ್ರೇಣಿಯನ್ನು ಪಡೆಯಬಹುದು.
ನೀವು ಸರಣಿಯನ್ನು ಓದಿದ್ದರೆ
ಆದರೆ ನನ್ನ Get-Sysmonlogs ಕಮಾಂಡ್ ಮತ್ತು ಹೆಚ್ಚುವರಿ ಡೇಟಾ ರಚನೆಯೊಂದಿಗೆ ನಾವು ನಂತರ ಪಠ್ಯದಲ್ಲಿ ನೋಡೋಣ (ಗ್ರಾಫ್, ಸಹಜವಾಗಿ), ಬೆದರಿಕೆಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ನಾವು ಪ್ರಾಯೋಗಿಕ ಮಾರ್ಗವನ್ನು ಹೊಂದಿದ್ದೇವೆ - ಇದು ಸರಿಯಾದ ಶೃಂಗದ ಹುಡುಕಾಟವನ್ನು ಮಾಡುವ ಅಗತ್ಯವಿದೆ.
ಯಾವಾಗಲೂ ನಮ್ಮ DYI ಬ್ಲಾಗ್ ಪ್ರಾಜೆಕ್ಟ್ಗಳೊಂದಿಗೆ, ಸಣ್ಣ ಪ್ರಮಾಣದಲ್ಲಿ ಬೆದರಿಕೆಗಳ ವಿವರಗಳನ್ನು ವಿಶ್ಲೇಷಿಸಲು ನೀವು ಹೆಚ್ಚು ಕೆಲಸ ಮಾಡುತ್ತೀರಿ, ಎಂಟರ್ಪ್ರೈಸ್ ಮಟ್ಟದಲ್ಲಿ ಬೆದರಿಕೆ ಪತ್ತೆ ಎಷ್ಟು ಸಂಕೀರ್ಣವಾಗಿದೆ ಎಂಬುದನ್ನು ನೀವು ಹೆಚ್ಚು ಅರಿತುಕೊಳ್ಳುತ್ತೀರಿ. ಮತ್ತು ಈ ಅರಿವು ಅತ್ಯಂತ ಹೆಚ್ಚು ಪ್ರಮುಖ ಅಂಶ.
ಲೇಖನದ ಎರಡನೇ ಭಾಗದಲ್ಲಿ ನಾವು ಮೊದಲ ಆಸಕ್ತಿದಾಯಕ ತೊಡಕುಗಳನ್ನು ಎದುರಿಸುತ್ತೇವೆ, ಅಲ್ಲಿ ನಾವು Sysmon ಈವೆಂಟ್ಗಳನ್ನು ಪರಸ್ಪರ ಹೆಚ್ಚು ಸಂಕೀರ್ಣವಾದ ರಚನೆಗಳಾಗಿ ಸಂಪರ್ಕಿಸಲು ಪ್ರಾರಂಭಿಸುತ್ತೇವೆ.
ಮೂಲ: www.habr.com