iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 4
1
自我挑戰組

機械學習網域事件關聯分析系列 第 4

Day4 總之來一下Sysmon

介紹

Windows的Event Log是出了名的分散,同一個事件可以分散在好幾個Event Log裡,如果不特別啟用個別的Event Log,甚至還會出現缺少紀錄,這樣很不利於分析,因此在這邊推薦使用System Monitor(Sysmon)來產生Log,Sysmon可以記錄各種Event,對管理人員來說是很好用的工具,某個程度上可以靠Sysmon來找出像是DLL injection、SQL injection、NTLM hijacking(maybe golden ticket attack)。

工具

Sysmon需要到官網下載,安裝完成後需要重新開機,因為個人偏好盡可能的詳細記錄,所以下面的安裝指令都是記錄最詳細的內容,連同network connections和loading of modules,雖然這樣會讓Log增長速度暴增,總之還是資料優先。

x86版本

Sysmon.exe -accepteula –i –h md5,sha256 –n -l

x64版本

Sysmon64.exe -accepteula –i –h md5,sha256 –n -l

EventViewer

這兩天介紹了設定時間同步跟詳細記錄的工具,明天會介紹如何架設Log Server和設定Windows Event Log Subscription來蒐集網域內的Event Log,因為這部分有許多細節需要設定,像是權限、Log位置、Log大小等細節可以調,大概會分成兩篇來寫。


上一篇
Day3 總之先摸摸Time Service工具
下一篇
Day5 總之先來介紹一下會用到的工具
系列文
機械學習網域事件關聯分析17
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言