Einführung

In diesem Video-Walkthrough haben wir die Verwaltung von Protokollen in Windows mithilfe der Ereignisanzeige, Powershell und der Windows-Befehlszeile behandelt. Wir haben auch ein Szenario zur Untersuchung eines Cyber-Vorfalls untersucht.

Laut Wikipedia: „Ereignisprotokolle zeichnen Ereignisse auf, die bei der Ausführung eines Systems stattfinden, um einen Prüfpfad bereitzustellen, der zum Verständnis der Systemaktivität und zur Diagnose von Problemen verwendet werden kann. Sie sind wichtig, um die Aktivitäten komplexer Systeme zu verstehen, insbesondere bei Anwendungen mit geringer Benutzerinteraktion (z. B. Serveranwendungen).

Diese Definition gilt für Systemadministratoren, IT-Techniker, Desktop-Ingenieure usw. Wenn am Endpunkt ein Problem auftritt, können die Ereignisprotokolle abgefragt werden, um Hinweise zu erhalten, was zu dem Problem geführt hat. Das Betriebssystem schreibt standardmäßig Nachrichten in diese Protokolle.

Als Verteidiger (Blue Teamer) gibt es einen weiteren Anwendungsfall für Ereignisprotokolle.“Es kann auch sinnvoll sein, Protokolldateieinträge aus mehreren Quellen zu kombinieren. Dieser Ansatz kann in Kombination mit statistischer Analyse Korrelationen zwischen scheinbar unabhängigen Ereignissen auf verschiedenen Servern ergeben.

Hier kommen SIEMs (Sicherheitsinformationen und Ereignismanagement) wie Splunk und Elastic ins Spiel.

Auch wenn es möglich ist, auf die Ereignisprotokolle eines Remote-Rechners zuzugreifen, ist dies in einer großen Unternehmensumgebung nicht praktikabel. Stattdessen können die Protokolle von allen Endpunkten, Geräten usw. in einem SIEM angezeigt werden. Auf diese Weise können Sie die Protokolle von mehreren Geräten aus abfragen, anstatt sich manuell mit einem einzelnen Gerät zu verbinden, um dessen Protokolle anzuzeigen.

Windows ist nicht das einzige Betriebssystem, das ein Protokollierungssystem verwendet. Linux und macOS tun dies auch. Auf Linux-Systemen ist das Protokollierungssystem beispielsweise bekannt als Syslog. In diesem Raum konzentrieren wir uns jedoch nur auf das Windows-Protokollierungssystem, die sogenannten Windows-Ereignisprotokolle.

 

Holen Sie sich Blue Team Notes

 

 

Raumantworten

Wie lautet die Event-ID für das erste Event?

Filtern Sie nach Ereignis-ID 4104. Welcher zweite Befehl wurde in der PowerShell-Sitzung ausgeführt?

Was ist die Aufgabenkategorie für die Ereignis-ID 4104?

Verwenden Sie für die folgenden Fragen die Ereignisanzeige, um das Windows PowerShell-Protokoll zu analysieren.

Was ist der Aufgabenkategorie für Ereignis-ID 800?

Wie viele Protokollnamen befinden sich in der Maschine?

Wie lautet die Definition für die Abfrageereignisse Befehl?

Welche Option würden Sie verwenden, um einen Pfad zu einer Protokolldatei bereitzustellen?

Was ist der WERT für /Q?

Die folgenden Fragen basieren auf diesem Befehl: wevtutil qe Anwendung /c:3 /rd:true /f:text

Wie lautet der Protokollname?

Was ist der /rd Option für?

Was ist der /C Option für?

Führen Sie den Befehl aus von Beispiel 1 (wie es ist). Wie lauten die Namen der Protokolle im Zusammenhang mit OpenSSH?
Führen Sie den Befehl aus von Beispiel 7Anstelle der Zeichenfolge *Politik* suchen nach *Power Shell*. Wie heißt der 3. Protokollanbieter?

Führen Sie den Befehl aus von Beispiel 8. Verwenden Microsoft-Windows-PowerShell als Protokollanbieter. Wie viele Ereignis-IDs werden für diesen Ereignisanbieter angezeigt?

Wie geben Sie die Anzahl der anzuzeigenden Ereignisse an?

Bei Verwendung der FilterHashtable Parameter und Filterung nach Ebene, was ist der Wert für Informativ?

Verwenden von WinEvent abrufen Und XPath, wie lautet die Abfrage, um WLMS-Ereignisse mit einer Systemzeit von 2020-12-15T01:09:08.940277500Z zu finden?

Verwenden von WinEvent abrufen Und XPath, wie lautet die Abfrage, um einen Benutzer namens Sam mit der Anmeldeereignis-ID 4720 zu finden?

Wie viele Ergebnisse werden basierend auf der vorherigen Abfrage zurückgegeben?

Basierend auf der Ausgabe der Frage #2: Was ist eine Nachricht?

Ich arbeite immer noch mit Sam als Benutzer. Wann wurde das Ereignis mit der ID 4724 aufgezeichnet? (TT/MM/JJJJ H:MM:SS [AM/PM])

Wie lautet der Anbietername?
Welche Ereignis-ID dient zum Erkennen eines PowerShell-Downgrade-Angriffs?

Was ist der Datum (und Uhrzeit dieser Angriff stattgefunden hat? (TT/MM/JJJJ H:MM:SS [AM/PM])

Protokoll löschen Das Ereignis wurde aufgezeichnet. Was ist die „Ereignisaufzeichnungs-ID“?

Wie heißt der Computer?

Wie heißt die erste Variable im PowerShell-Befehl?

Was ist der Datum (und Uhrzeit dieser Angriff stattgefunden hat? (TT/MM/JJJJ H:MM:SS [AM/PM])

Was ist der Ausführungsprozess-ID?

Was ist der Gruppensicherheits-ID der Gruppe, die sie aufgezählt hat?

Was ist die Ereignis-ID?

Video-Anleitung

 

 

,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen