2024 iThome 鐵人賽

DAY 7

0

Security

資安日誌分析系列第 7 篇

7. Windows Log分析(遠端桌面登入)-Wireshark

16th鐵人賽

2024-09-21 23:25:05

111 瀏覽

分享至

說明

搭配Wireshark看一下網路層行為，與EvenLog做比較

作法

Wireshark

預設顯示方式是啟動0開始，可以改成Timez方便比對EventLog

接著新增欄位，預設沒有Desination Port，這是可以初步辨別可能是使用哪個服務

自己輸入名稱，選擇要加的類型

錄到的封包

DNS查詢 DNS Standard query 0xe07e SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.training_a.local
建立TLS連線 TLSv1.2 Client Hello (SNI=192.168.190.129)
建立RDP請求 RDP Cookie: mstshash=PC01\pc01, Negotiate Request
建立RDPUDP 遠端桌面影像及互動

EventLog

REF

https://unit42.paloaltonetworks.com/wireshark-tutorial-decrypting-rdp-traffic/

6. Windows Log分析(遠端桌面登入)

8. Windows Log分析(PowerShell登入)

系列文

資安日誌分析共 30 篇

目錄

RSS系列文訂閱系列文

4 人訂閱

完整目錄

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

尚未有邦友留言

立即登入留言

參賽組數

1064 組

團體組數

40 組

累計文章數

22200 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙