مقدمة

في هذا الفيديو الإرشادي، تناولنا إدارة السجلات في النوافذ باستخدام عارض الأحداث وPowershell وسطر أوامر Windows. لقد درسنا أيضًا سيناريو للتحقيق في حادث سيبراني.

بحسب ويكيبيديا، “سجلات الأحداث تسجيل الأحداث التي تحدث أثناء تنفيذ النظام لتوفير مسار تدقيق يمكن استخدامه لفهم نشاط النظام وتشخيص المشكلات. وهي ضرورية لفهم أنشطة الأنظمة المعقدة، خاصة في التطبيقات ذات التفاعل القليل من المستخدم (مثل تطبيقات الخادم).

سينطبق هذا التعريف على مسؤولي النظام، وفنيي تكنولوجيا المعلومات، ومهندسي سطح المكتب، وما إلى ذلك. إذا كانت نقطة النهاية تواجه مشكلة، فيمكن الاستعلام عن سجلات الأحداث لمعرفة أي أدلة حول سبب المشكلة. يقوم نظام التشغيل بشكل افتراضي بكتابة الرسائل إلى هذه السجلات.

كمدافعين (أعضاء الفريق الأزرق)، هناك حالة استخدام أخرى لسجلات الأحداث. "قد يكون من المفيد أيضًا دمج إدخالات ملف السجل من مصادر متعددة. قد يؤدي هذا النهج، بالاشتراك مع التحليل الإحصائي، إلى وجود ارتباطات بين الأحداث التي تبدو غير ذات صلة على خوادم مختلفة.

هذا هو المكان SIEMs (المعلومات الأمنية وإدارة الأحداث) مثل Splunk و Elastic.

على الرغم من أنه من الممكن الوصول إلى سجلات أحداث جهاز بعيد، إلا أن ذلك لن يكون ممكنًا في بيئة مؤسسة كبيرة. وبدلاً من ذلك، يمكن للمرء عرض السجلات من جميع نقاط النهاية والأجهزة وما إلى ذلك في SIEM. سيسمح لك هذا بالاستعلام عن السجلات من أجهزة متعددة بدلاً من الاتصال يدويًا بجهاز واحد لعرض سجلاته.

Windows ليس نظام التشغيل الوحيد الذي يستخدم نظام التسجيل. لينكس وmacOS يفعل ذلك أيضًا. على سبيل المثال، في أنظمة Linux، يُعرف نظام التسجيل باسم سجل النظام. ومع ذلك، داخل هذه الغرفة، نحن نركز فقط على نظام تسجيل Windows الذي يسمى سجلات أحداث Windows.

 

احصل على ملاحظات الفريق الأزرق

 

 

إجابات الغرفة

ما هو معرف الحدث للحدث الأول؟

قم بالتصفية على معرف الحدث 4104. ما هو الأمر الثاني الذي تم تنفيذه في جلسة PowerShell؟

ما هي فئة المهمة لمعرف الحدث 4104؟

بالنسبة للأسئلة الواردة أدناه، استخدم "عارض الأحداث" لتحليل سجل Windows PowerShell.

ما هو فئة المهمة لمعرف الحدث 800؟

كم عدد أسماء السجل الموجودة في الجهاز؟

ما هو تعريف أحداث الاستعلام يأمر؟

ما الخيار الذي ستستخدمه لتوفير مسار لملف السجل؟

ما هو قيمة ل ?

الأسئلة أدناه مبنية على هذا الأمر: تطبيق wevtutil qe /c:3 /rd:true /f:text

ما هو اسم السجل؟

ما هو /بحث وتطوير خيار ل؟

ما هو  خيار ل؟

تنفيذ الأمر من مثال 1 (كما هي). ما هي أسماء السجلات المتعلقة OpenSSH?
تنفيذ الأمر من مثال 7. بدلا من السلسلة *سياسة* بحث عن *باورشيل*. ما هو اسم موفر السجل الثالث؟

تنفيذ الأمر من مثال 8. يستخدم مايكروسوفت-ويندوز-باورشيل كموفر السجل. ما هو عدد معرفات الأحداث التي يتم عرضها لموفر الحدث هذا؟

كيف تحدد عدد الأحداث التي سيتم عرضها؟

عند استخدام FilterHashtable المعلمة والتصفية حسب المستوى، ما هي القيمة معلوماتية?

استخدام احصل على WinEvent و XPath، ما هو الاستعلام للعثور على أحداث WLMS مع وقت النظام 2020-12-15T01:09:08.940277500Z؟

استخدام احصل على WinEvent و XPathما هو الاستعلام للعثور على مستخدم يُدعى Sam بمعرف حدث تسجيل الدخول 4720؟

بناءً على الاستعلام السابق، كم عدد النتائج التي تم إرجاعها؟

بناءً على مخرجات السؤال #2، ما هي الرسالة؟

ما زلت أعمل مع Sam كمستخدم، ما هو الوقت الذي تم فيه تسجيل معرف الحدث 4724؟ (ش ش/ي ي/س س س س: د د: ث ث [ص/م])

ما هو اسم المزود؟
ما هو معرف الحدث للكشف عن هجوم الرجوع إلى إصدار PowerShell؟

ما هو التاريخ و الوقت وقع هذا الهجوم؟ (ش ش/ي ي/س س س س: د د: ث ث [ص/م])

أ سجل واضح تم تسجيل الحدث. ما هو "معرف سجل الحدث"؟

ما هو اسم الكمبيوتر؟

ما اسم المتغير الأول في أمر PowerShell؟

ما هو التاريخ و الوقت وقع هذا الهجوم؟ (ش ش/ي ي/س س س س: د د: ث ث [ص/م])

ما هو معرف عملية التنفيذ?

ما هو معرف أمان المجموعة من المجموعة التي ذكرتها؟

ما هو معرف الحدث؟

جولة بالفيديو

 

 

,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات