資安日誌分析 :: 2024 iThome 鐵人賽

Eugene (etsaycood)

iT邦研究生 5 級 ‧ 點數 1773

ABC公司

64563

累計瀏覽數

76人

在追蹤

站內簡訊追蹤

鐵人檔案

2024 iThome 鐵人賽

回列表

Security

資安日誌分析系列

一步一步分析各種不同操作行為會產生什麼日誌紀錄，以便後續分析及建立告警

鐵人鍊成｜共 30 篇文章｜ 4 人訂閱訂閱系列文 RSS系列文

0 Like 0 留言 158 瀏覽

DAY 1

1. 資安日誌分析

說明許多企業導入 SIEM 系統來監控環境中潛在的駭客行為或惡意操作，這些系統會收集大量設備日誌，並透過規則進行比對和分析。本文將深入探討日常操作的正常日誌...

2024-09-15 ‧ 由 Eugene 分享

0 Like 0 留言 315 瀏覽

DAY 2

2. Windows Log搜尋(Event Viewer)

說明 Windows 事件檢視器 (Event Viewer) 是一個內建工具，用於查看系統日誌。透過它，使用者可以檢索系統的操作記錄以及各類異常事件，便於進行...

2024-09-16 ‧ 由 Eugene 分享

0 Like 0 留言 150 瀏覽

DAY 3

3. Windows Log XML搜尋(Event Viewer)

說明一般的篩選 (Filter) 功能僅能針對時間範圍或 Event ID 進行搜尋，無法精確過濾更細項的資訊（如 Logon Type）。然而，透過 XML...

2024-09-17 ‧ 由 Eugene 分享

0 Like 0 留言 151 瀏覽

DAY 4

4. Windows Log XML搜尋(PowerShell)

說明使用 Windows 事件檢視器 (Event Viewer) 時，逐一尋找並點擊事件查看詳情往往讓人感到不便。若不想下載其他軟體來匯出日誌，可以考慮使用...

2024-09-18 ‧ 由 Eugene 分享

0 Like 0 留言 164 瀏覽

DAY 5

5. Windows 強化端點日誌 (Audit&Sysmon)

說明預設的Event訊息並不完整，很多事件不會產生，難以關聯前因後果，Windows在群組原則GPO部分可以設定啟用那些稽核原則作法 1. 設定 Windo...

2024-09-19 ‧ 由 Eugene 分享

0 Like 0 留言 200 瀏覽

DAY 6

6. Windows Log分析(遠端桌面登入)

說明這次來看一下一台Windows主機被另一台主機用遠端桌面會有什麼紀錄作法 Audit Log 首先確認使否啟用中Audit Police本地設定 gpe...

2024-09-20 ‧ 由 Eugene 分享

0 Like 0 留言 110 瀏覽

DAY 7

7. Windows Log分析(遠端桌面登入)-Wireshark

說明搭配Wireshark看一下網路層行為，與EvenLog做比較作法 Wireshark 預設顯示方式是啟動0開始，可以改成Timez方便比對EventL...

2024-09-21 ‧ 由 Eugene 分享

0 Like 0 留言 114 瀏覽

DAY 8

8. Windows Log分析(PowerShell登入)

說明這章觀察另一種PowerShell連入的事件的日誌作法嘗試連線失敗，EventLog Security 4703 Token Right Adjust...

2024-09-22 ‧ 由 Eugene 分享

0 Like 0 留言 109 瀏覽

DAY 9

9. Windows Log分析(共享資料夾)

說明共享資料夾是一種常被拿來橫向擴散，並取得為妥善保護的手冊文件、設定檔等資料，如被獲取高權密碼甚至能用//xxxx.xxxx.xxxx.xxxx/c$ 方式...

2024-09-23 ‧ 由 Eugene 分享

0 Like 0 留言 169 瀏覽

DAY 10

10. 環境建立-LogServer(Elastic Security)

說明一直用Eventviewer及PowerShell查日誌在大量關聯事件時不是很容易，一不小心日誌被清掉覆蓋，所以會使用LogServer或是SIEM等平台...

2024-09-24 ‧ 由 Eugene 分享

Eugene的鐵人檔案

Eugene的收藏

Eugene的追蹤

Eugene的Like

Eugene的紀錄

Eugene的訂閱列表

鐵人檔案

資安日誌分析 系列

標記使用者

資安日誌分析系列