iT邦幫忙

0

Window audit log收集

各位前輩好

目前在自學基於 Window audit log 分析 APT 威脅分析時,遇到事件收集不完全的狀況,想請教可能的解決方法。

遇到的狀況是攻擊指令產生的相關事件會有遺漏,舉例來說,底下指令會產生 vmtools.log 這個檔案到 APPDATA 資料夾底下,但sysmon的事件紀錄中並未有相關事件產生(個人直覺是會有event id:11-file create產生)

get-process >> $env:APPDATA\vmtools.log;cat $env:APPDATA\vmtools.log

想請教前輩們這情況可能的原因及解決辦法;另外,也想請教前輩們在利用 Window audit log 做資安分析時,都用什麼方法收集自己需要的資訊阿(例:檔案修改,登錄檔修改,...)

在此先感謝各位花時間閱讀此文!


*分析環境是利用MITRE caldera進行攻擊模擬, 使用 vmware 架設 win10 受測主機,在其系統安裝 sysmon 收集 audit log,sysmon 的配置設定是依據 olafhartong,在file create的規則中已加入.log結尾也需紀錄。

尚未有邦友回答

立即登入回答