ProHoster > Блог > Whakahaerenga > Ka taea e Sysmon te tuhi ihirangi papatopenga

Ka taea e Sysmon te tuhi ihirangi papatopenga

Ko te tukunga o te putanga 12 o Sysmon i panuitia i te Mahuru 17 i Whārangi Sysinternals. Inaa, i tukuna ano nga putanga hou o Process Monitor me ProcDump i tenei ra. I roto i tenei tuhinga ka korero ahau mo te kaupapa matua me te hou tautohetohe o te putanga 12 o Sysmon - te momo huihuinga me te ID Takahanga 24, ka uru atu te mahi me te papatopenga.

Ka taea e Sysmon te tuhi ihirangi papatopenga

Ko nga korero mai i tenei momo huihuinga ka whakatuwhera i nga huarahi hou ki te aro turuki i nga mahi whakapae (me nga whakaraeraetanga hou). Na, ka taea e koe te mohio ko wai, kei hea me te aha i ngana ki te kape. Kei raro i te tapahanga he whakaahuatanga mo etahi mara o te huihuinga hou me etahi keehi whakamahi.

Kei roto i te takahanga hou nga mara e whai ake nei:

Whakaahua: te tukanga i tuhia ai nga raraunga ki te papatopenga.
Wātaka: te wahanga i tuhia ai te papatopenga. He punaha pea(0)
i te wa e mahi ana i runga ipurangi, i tawhiti ranei, etc.
ClientInfo: kei roto te ingoa ingoa o te hui, me te mea mo tetahi huihuinga mamao, ko te ingoa kaihautu taketake me te wahitau IP, mena kei te waatea.
Hashes: ka whakatau i te ingoa o te konae i tiakina ai te tuhinga i kapea (he rite ki te mahi me nga huihuinga o te momo FileDelete).
Pūrangatia: te tūnga, ahakoa i tiakina te kuputuhi mai i te papatopenga ki te whaiaronga puranga Sysmon.

Ko nga mara e rua whakamutunga he whakamataku. Ko te meka mai i te putanga 11 ka taea e Sysmon (me nga tautuhinga e tika ana) te penapena i nga momo raraunga ki tana raarangi korero. Hei tauira, ka tuhia e te Takahanga ID 23 nga huihuinga mukunga konae ka taea te tiaki katoa i roto i te raarangi purongo kotahi. Ka taapirihia te tohu CLIP ki te ingoa o nga konae i hangaia na te mahi me te papatopenga. Kei roto i nga konae nga raraunga tika i kapea ki te papatopenga.

Koinei te ahua o te konae kua tiakina
Ka taea e Sysmon te tuhi ihirangi papatopenga

Ka taea te tiaki ki tetahi konae i te wa e whakauru ana. Ka taea e koe te tautuhi i nga rarangi ma o nga tukanga e kore e tiakina nga kuputuhi.

Koinei te ahua o te whakaurunga a Sysmon me nga tautuhinga whaiaronga purongo e tika ana:
Ka taea e Sysmon te tuhi ihirangi papatopenga

I konei, ki taku whakaaro, he pai ki te mahara ki nga kaiwhakahaere kupuhipa e whakamahi ana hoki i te papatopenga. Ma te whai a Sysmon i runga i te punaha me te kaiwhakahaere kupuhipa ka taea e koe (te kaitukino ranei) te hopu i aua kupuhipa. Ki te whakaaro koe kei te mohio koe ko tehea te tukanga e tohatoha ana i nga tuhinga kua kapea (a ehara tenei i nga wa katoa ko te mahi kaiwhakahaere kupuhipa, engari ko etahi svchost pea), ka taea te taapiri atu ki te rarangi ma, kaore e tiakina.

Kaore pea koe e mohio, engari ko te tuhinga mai i te papatopenga ka mauhia e te tūmau mamao ina huri koe ki te aratau RDP. Mena he mea kei runga i to papatopenga ka huri koe i waenga i nga huihuinga RDP, ka haere tahi aua korero me koe.

Kia whakarāpopotohia ngā kaha o Sysmon mo te mahi me te papatopenga.

Kua mau:

  • He kape kuputuhi o te tuhinga whakapiri ma te RDP me te rohe;
  • Hopu raraunga mai i te papatopenga ma nga momo taputapu/tukatuka;
  • Tārua/whakapiri kupu mai/ki te mihini mariko o te rohe, ahakoa kaore ano kia whakapirihia tenei tuhinga.

Kaore i tuhia:

  • Te kape/whakapiri i nga konae mai/ki te miihini mariko o te rohe;
  • Tārua/whakapiri kōnae mā RDP
  • Ko te malware ka hopu i to papatopenga ka tuhi anake ki te papatopenga.

Ahakoa tona rangirua, ko tenei momo huihuinga ka taea e koe te whakahoki i te algorithm o nga mahi a te kaitukino me te awhina ki te tautuhi i nga raraunga kaore e taea te uru atu i mua mo te hanganga o nga tirotiro mate i muri i nga whakaeke. Mena kei te kaha tonu te tuhi i nga ihirangi ki te papatopenga, he mea nui ki te tuhi i nga urunga katoa ki te whaiaronga puranga me te tautuhi i nga mea kino (kaore i timatahia e sysmon.exe).

Hei tuhi, tātari me te urupare ki nga kaupapa kua whakarārangihia i runga ake nei, ka taea e koe te whakamahi i te taputapu InTrust, e whakakotahi ana i nga huarahi e toru, me te taapiri, he putunga putunga whai hua o nga raraunga mata katoa kua kohia. Ka taea e tatou te whirihora i tana whakaurunga ki nga punaha SIEM rongonui hei whakaiti i te utu mo o raatau raihana ma te whakawhiti i te tukatuka me te rokiroki o nga raraunga mata ki InTrust.

Hei ako atu mo InTrust, panuihia o maatau tuhinga o mua ranei waiho he tono ki te puka urupare.

Me pehea te whakaiti i te utu mo te mana rangatira o tetahi punaha SIEM me te aha e hiahia ana koe ki te Whakahaere Roopu Matua (CLM)

Ka taea e matou te kohikohi i nga huihuinga mo te whakarewatanga o nga tukanga hihira ki Windows me te tautuhi i nga riri ma te whakamahi i te Quest InTrust

Me pehea te awhina a InTrust ki te whakaheke i te tere o nga nganatanga whakamanatanga i rahua ma te RDP

Ka kitea e matou he whakaeke ransomware, ka uru ki te kaiwhakahaere rohe ka ngana ki te aukati i enei whakaeke

He aha nga mea whaihua ka taea te tango mai i nga raarangi o te teihana mahi a Windows? (tuhinga rongonui)

Na wai i mahi? Ka whakaaunoa matou i nga arotakenga haumarutanga korero

Source: will.com

Tāpiri i te kōrero