Introducción
En este video tutorial, cubrimos la administración de registros en Windows mediante el visor de eventos, Powershell y la línea de comandos de Windows. También examinamos un escenario para investigar un incidente cibernético.
Según Wikipedia, “Registros de eventos Registra los eventos que tienen lugar en la ejecución de un sistema para proporcionar una pista de auditoría que puede usarse para comprender la actividad del sistema y diagnosticar problemas. Son esenciales para comprender las actividades de sistemas complejos, particularmente en aplicaciones con poca interacción del usuario (como aplicaciones de servidor).”
Esta definición se aplicaría a administradores de sistemas, técnicos de TI, ingenieros de escritorio, etc. Si el terminal tiene un problema, se pueden consultar los registros de eventos para ver cualquier pista sobre lo que provocó el problema. El sistema operativo, de forma predeterminada, escribe mensajes en estos registros.
Como defensores (equipos azules), existe otro caso de uso para los registros de eventos. “También puede resultar útil combinar entradas de archivos de registro de múltiples fuentes. Este enfoque, en combinación con el análisis estadístico, puede generar correlaciones entre eventos aparentemente no relacionados en diferentes servidores.”
Aquí es donde los SIEM (Información de seguridad y gestión de eventos.) como Splunk y Elastic entran en juego.
Aunque es posible acceder a los registros de eventos de una máquina remota, esto no será factible en un entorno empresarial grande. En cambio, se pueden ver los registros de todos los puntos finales, dispositivos, etc., en un SIEM. Esto le permitirá consultar los registros de varios dispositivos en lugar de conectarse manualmente a un solo dispositivo para ver sus registros.
Windows no es el único sistema operativo que utiliza un sistema de registro. linux y macOS también lo hace. Por ejemplo, en los sistemas Linux, el sistema de registro se conoce como registro del sistema. Sin embargo, en esta sala sólo nos centraremos en el sistema de registro de Windows llamado Registros de eventos de Windows.
Respuestas de la habitación
¿Cuál es el ID del evento para el primer evento?
Filtre por ID de evento 4104. ¿Cuál fue el segundo comando ejecutado en la sesión de PowerShell?
¿Cuál es la categoría de tarea para el ID de evento 4104?
Para las preguntas siguientes, utilice el Visor de eventos para analizar el registro de Windows PowerShell.
Cuál es el Categoría de tarea para el ID de evento 800?
¿Cuántos nombres de registro hay en la máquina?
¿Cuál es la definición para el eventos de consulta ¿dominio?
¿Qué opción utilizaría para proporcionar una ruta a un archivo de registro?
Las siguientes preguntas se basan en este comando: wevtutil qe Aplicación /c:3 /rd:true /f:texto
¿Cuál es el nombre del registro?
Cuál es el /rd opción para?
Cuál es el /C opción para?
Ejecute el comando de Ejemplo 8. Usar Microsoft-Windows-PowerShell como proveedor de registros. ¿Cuántos identificadores de eventos se muestran para este proveedor de eventos?
¿Cómo se especifica el número de eventos que se mostrarán?
Al usar el FiltroHashtable parámetro y filtrado por nivel, ¿cuál es el valor para Informativo?
Usando Evento Obtener-Ganar y XPath, ¿cuál es la consulta para encontrar un usuario llamado Sam con un ID de evento de inicio de sesión de 4720?
Según la consulta anterior, ¿cuántos resultados se devuelven?
Según el resultado de la pregunta #2, ¿qué es Mensaje?
Aún trabajando con Sam como usuario, ¿a qué hora se registró el ID de evento 4724? (MM/DD/AAAA H:MM:SS [AM/PM])
Cuál es el Fecha y hora este ataque tuvo lugar? (MM/DD/AAAA H:MM:SS [AM/PM])
A Borrar registro se registró el evento. ¿Qué es el 'ID de registro de evento'?
¿Cuál es el nombre de la computadora?
¿Cuál es el nombre de la primera variable dentro del comando de PowerShell?
Cuál es el Fecha y hora este ataque tuvo lugar? (MM/DD/AAAA H:MM:SS [AM/PM])
Cuál es el ID del proceso de ejecución?
Cuál es el ID de seguridad del grupo del grupo que enumeró?
¿Cuál es el ID del evento?
Tutorial en vídeo
