ProHoster > ဘလော့ > အုပ်ချုပ်ရေး > Sysmon သည် ယခု clipboard အကြောင်းအရာများကို ရေးသားနိုင်ပါပြီ။

Sysmon သည် ယခု clipboard အကြောင်းအရာများကို ရေးသားနိုင်ပါပြီ။

Sysmon ၏ ဗားရှင်း 12 ထွက်ရှိမှုကို စက်တင်ဘာလ 17 ရက်နေ့တွင် ကြေညာခဲ့သည်။ Sysinternals စာမျက်နှာ. တကယ်တော့၊ Process Monitor နှင့် ProcDump ၏ ဗားရှင်းအသစ်များကိုလည်း ယနေ့တိုင် ဖြန့်ချိခဲ့သည်။ ဤဆောင်းပါးတွင်၊ Sysmon ဗားရှင်း 12 ၏ သော့နှင့် အငြင်းပွားဖွယ်ရာ ဆန်းသစ်တီထွင်မှုအကြောင်း - ကလစ်ဘုတ်ဖြင့် လုပ်ဆောင်သည့် Event ID 24 ပါသည့် ဖြစ်ရပ်များ အမျိုးအစားကို ပြောပြပါမည်။

Sysmon သည် ယခု clipboard အကြောင်းအရာများကို ရေးသားနိုင်ပါပြီ။

ဤဖြစ်ရပ်အမျိုးအစားမှ အချက်အလက်များသည် သံသယဖြစ်ဖွယ်လုပ်ဆောင်ချက် (အပြင် အားနည်းချက်အသစ်များ) ကို စောင့်ကြည့်ရန် အခွင့်အလမ်းသစ်များ ပွင့်စေသည်။ ဒါကြောင့် ဘယ်သူတွေ၊ ဘယ်နေရာမှာ ဘယ်လို ကူးယူဖို့ ကြိုးစားခဲ့ကြသလဲဆိုတာကို သင်နားလည်နိုင်ပါတယ်။ ဖြတ်တောက်မှုအောက်တွင် ဖြစ်ရပ်အသစ်၏ အကွက်အချို့နှင့် အသုံးပြုမှုကိစ္စအချို့၏ ဖော်ပြချက်ဖြစ်သည်။

အစီအစဉ်အသစ်တွင် အောက်ပါအကွက်များ ပါဝင်သည်-

image: အချက်အလက်များကို ကလစ်ဘုတ်သို့ ရေးမှတ်ထားသည့် လုပ်ငန်းစဉ်။
session: ကလစ်ဘုတ်ကို ရေးသားခဲ့သည့် အပိုင်း။ စနစ်(0) ဖြစ်နိုင်သည်။
အွန်လိုင်း သို့မဟုတ် အဝေးမှ အလုပ်လုပ်သည့်အခါ၊
ဖောက်သည်အချက်အလက်- စက်ရှင်အသုံးပြုသူအမည် ပါ၀င်ပြီး အဝေးထိန်းစက်ရှင်တစ်ခုအတွက်၊ ရရှိပါက မူရင်း hostname နှင့် IP လိပ်စာတို့ ပါဝင်ပါသည်။
Hashes- ကူးယူထားသော စာသားကို သိမ်းဆည်းထားသည့် ဖိုင်အမည်ကို ဆုံးဖြတ်သည် (FileDelete အမျိုးအစား၏ ဖြစ်ရပ်များနှင့် ဆင်တူသည်)။
သိမ်းဆည်းထားသည်- အခြေအနေ၊ ကလစ်ဘုတ်မှ စာသားကို Sysmon archive directory တွင် သိမ်းဆည်းခြင်း ရှိမရှိ၊

နောက်ဆုံးနယ်ပယ်နှစ်ခုသည် ထိတ်လန့်စရာကောင်းသည်။ ဗားရှင်း 11 Sysmon သည် (သင့်လျော်သောဆက်တင်များနှင့်အတူ) ဒေတာအမျိုးမျိုးကို ၎င်း၏ archive directory တွင်သိမ်းဆည်းနိုင်သောကြောင့်ဖြစ်သည်။ ဥပမာအားဖြင့်၊ Event ID 23 သည် ဖိုင်ဖျက်ခြင်းဖြစ်ရပ်များကို မှတ်တမ်းမှတ်ပြီး ၎င်းတို့အားလုံးကို တူညီသော archive directory တွင် သိမ်းဆည်းနိုင်သည်။ ကလစ်ဘုတ်ဖြင့် လုပ်ဆောင်ခြင်းကြောင့် ဖန်တီးထားသော ဖိုင်များ၏ အမည်တွင် ကလစ်တဂ်ကို ပေါင်းထည့်ထားသည်။ ဖိုင်များသည် ကလစ်ဘုတ်သို့ ကူးယူထားသည့် ဒေတာအတိအကျ ပါဝင်ပါသည်။

ဤသည်မှာ သိမ်းဆည်းထားသော ဖိုင်နှင့် တူသည်။
Sysmon သည် ယခု clipboard အကြောင်းအရာများကို ရေးသားနိုင်ပါပြီ။

ထည့်သွင်းစဉ်အတွင်း ဖိုင်တစ်ခုသို့ သိမ်းဆည်းခြင်းကို ဖွင့်ထားသည်။ စာသားကို သိမ်းဆည်းမည်မဟုတ်သည့် လုပ်ငန်းစဉ်များ၏ အဖြူရောင်စာရင်းများကို သင်သတ်မှတ်နိုင်သည်။

သင့်လျော်သော archive directory settings ဖြင့် Sysmon တပ်ဆင်မှုသည် ပုံသဏ္ဌာန်ဖြစ်သည်။
Sysmon သည် ယခု clipboard အကြောင်းအရာများကို ရေးသားနိုင်ပါပြီ။

ဒီနေရာမှာ၊ ကလစ်ဘုတ်ကိုလည်းသုံးတဲ့ စကားဝှက်မန်နေဂျာတွေကို သတိရသင့်တယ်လို့ ကျွန်တော်ထင်ပါတယ်။ စကားဝှက်မန်နေဂျာပါရှိသော စနစ်တစ်ခုတွင် Sysmon ရှိခြင်းက သင့်ကို (သို့မဟုတ် တိုက်ခိုက်သူ) က ထိုစကားဝှက်များကို ဖမ်းယူနိုင်စေမည်ဖြစ်သည်။ ကူးယူထားသော စာသားကို ခွဲဝေပေးနေသည့် လုပ်ငန်းစဉ်ကို သင်သိသည်ဟု ယူဆပါက (၎င်းသည် အမြဲတမ်း စကားဝှက် မန်နေဂျာ လုပ်ငန်းစဉ် မဟုတ်သော်လည်း အချို့သော svchost ဖြစ်နိုင်သည်)၊ ဤခြွင်းချက်အား အဖြူရောင်စာရင်းတွင် ထည့်သွင်းနိုင်ပြီး သိမ်းဆည်းခြင်း မပြုနိုင်ပါ။

သင်မသိနိုင်သော်လည်း RDP စက်ရှင်မုဒ်တွင် သင် ၎င်းသို့ပြောင်းသောအခါ အဝေးထိန်းဆာဗာမှ ကလစ်ဘုတ်မှ စာသားကို ဖမ်းယူထားသည်။ သင့်ကလစ်ဘုတ်ပေါ်တွင် တစ်ခုခုရှိပြီး RDP sessions များကြားတွင် သင်ပြောင်းပါက၊ ထိုအချက်အလက်များသည် သင်နှင့်အတူ လိုက်ပါလာမည်ဖြစ်သည်။

ကလစ်ဘုတ်ဖြင့်အလုပ်လုပ်ရန်အတွက် Sysmon ၏စွမ်းရည်များကို အကျဉ်းချုံးကြည့်ကြပါစို့။

သတ်မှတ်ထားတဲ့:

  • RDP မှတဆင့် ကူးထည့်ထားသော စာသားမိတ္တူနှင့် စက်တွင်း၊
  • အမျိုးမျိုးသော အသုံးအဆောင်များ/လုပ်ငန်းစဉ်များဖြင့် ကလစ်ဘုတ်မှဒေတာကို ဖမ်းယူပါ။
  • ဤစာသားကို ကူးထည့်ခြင်းမပြုသေးသော်လည်း၊ စက်တွင်းရှိ virtual machine မှ/သို့ စာသားကို ကူး/ကူးထည့်ပါ။

မှတ်တမ်းတင်မထားပါ

  • ဖိုင်များကို မိတ္တူကူးခြင်း/ ကူးထည့်ခြင်း/ ဖိုင်များကို ပြည်တွင်းရှိ virtual machine တစ်ခုသို့ ကူးယူခြင်း
  • RDP မှတစ်ဆင့် ဖိုင်များကို ကူး/ကူးထည့်ပါ။
  • သင့်ကလစ်ဘုတ်ကို ပြန်ခိုးယူသည့် malware သည် ကလစ်ဘုတ်ကိုယ်တိုင်သာ ရေးသားသည်။

၎င်း၏ရှင်းလင်းမှုမရှိသော်လည်း၊ ဤဖြစ်ရပ်အမျိုးအစားသည် သင့်အား တိုက်ခိုက်သူ၏လုပ်ဆောင်မှုများ၏ အယ်လဂိုရီသမ်ကို ပြန်လည်ရယူရန်နှင့် တိုက်ခိုက်မှုပြီးနောက် အသေအပျောက်များဖွဲ့စည်းခြင်းအတွက် ယခင်က လက်လှမ်းမမီသောဒေတာကို ခွဲခြားသတ်မှတ်ရန် ကူညီပေးပါမည်။ ကလစ်ဘုတ်တွင် အကြောင်းအရာရေးသားခြင်းကို ဖွင့်ထားဆဲဖြစ်ပါက၊ မှတ်တမ်းမှတ်တမ်းသို့ ဝင်ရောက်ခွင့်တိုင်းကို မှတ်တမ်းတင်ရန်နှင့် အန္တရာယ်ဖြစ်နိုင်ချေများကို ခွဲခြားသတ်မှတ်ရန် အရေးကြီးသည် (sysmon.exe မှ အစပြုခြင်းမရှိ)။

အထက်ဖော်ပြပါဖြစ်ရပ်များကို မှတ်တမ်းတင်ခြင်း၊ ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် တုံ့ပြန်ရန်၊ သင်ကိရိယာကို အသုံးပြုနိုင်သည်။ ယုံကြည်မှုချဉ်းကပ်မှု သုံးခုလုံးကို ပေါင်းစပ်ထားသည့်အပြင်၊ စုဆောင်းထားသော ကုန်ကြမ်းဒေတာအားလုံး၏ ထိရောက်သော ဗဟိုချုပ်ကိုင်မှု သိုလှောင်မှုတစ်ခုဖြစ်သည်။ InTrust သို့ ဒေတာအကြမ်းများကို စီမံဆောင်ရွက်ပေးခြင်းနှင့် သိမ်းဆည်းခြင်းတို့ကို လွှဲပြောင်းခြင်းဖြင့် ၎င်းတို့၏ လိုင်စင်ကုန်ကျစရိတ်ကို လျှော့ချရန်အတွက် လူကြိုက်များသော SIEM စနစ်များနှင့် ပေါင်းစည်းခြင်းတို့ကို ကျွန်ုပ်တို့ စီစဉ်နိုင်ပါသည်။

InTrust အကြောင်းပိုမိုလေ့လာရန်၊ ကျွန်ုပ်တို့၏ယခင်ဆောင်းပါးများကိုဖတ်ပါ သို့မဟုတ် အကြံပြုချက်ပုံစံတွင် တောင်းဆိုချက်ကို ချန်ထားပါ။.

SIEM စနစ်တစ်ခု၏ ပိုင်ဆိုင်မှုကုန်ကျစရိတ်ကို လျှော့ချနည်းနှင့် Central Log Management (CLM) ကို အဘယ်ကြောင့် လိုအပ်သနည်း။

ကျွန်ုပ်တို့သည် Windows တွင်သံသယဖြစ်ဖွယ်လုပ်ငန်းစဉ်များစတင်ခြင်းနှင့်ပတ်သက်သည့်ဖြစ်ရပ်များစုစည်းမှုကိုဖွင့်ပြီး Quest InTrust ကိုအသုံးပြု၍ ခြိမ်းခြောက်မှုများကိုဖော်ထုတ်ပါ။

InTrust သည် RDP မှတစ်ဆင့် မအောင်မြင်သော ခွင့်ပြုချက်ရယူမှုနှုန်းကို လျှော့ချရန် မည်သို့ကူညီနိုင်မည်နည်း။

ကျွန်ုပ်တို့သည် ransomware တိုက်ခိုက်မှုကို တွေ့ရှိပြီး ဒိုမိန်းထိန်းချုပ်ကိရိယာသို့ ဝင်ရောက်ခွင့်ရရှိပြီး ဤတိုက်ခိုက်မှုများကို တွန်းလှန်ရန် ကြိုးစားပါသည်။

Windows-based workstation ၏မှတ်တမ်းများမှ မည်သည့်အသုံးဝင်သောအရာများကို ထုတ်ယူနိုင်သနည်း။ (နာမည်ကြီးဆောင်းပါး)

ဘယ်သူလုပ်တာလဲ။ ကျွန်ုပ်တို့သည် အချက်အလက်လုံခြုံရေးစစ်ဆေးမှုများကို အလိုအလျောက်လုပ်ဆောင်ပေးပါသည်။

source: www.habr.com

မှတ်ချက် Add