Introduction

Dans cette vidéo pas à pas, nous avons couvert la gestion des journaux dans Windows à l'aide de l'observateur d'événements, de Powershell et de la ligne de commande Windows. Nous avons également examiné un scénario pour enquêter sur un cyberincident.

Selon Wikipédia, "Journaux d'événements enregistrer les événements ayant lieu lors de l'exécution d'un système pour fournir une piste d'audit qui peut être utilisée pour comprendre l'activité du système et diagnostiquer les problèmes. Ils sont essentiels pour comprendre les activités de systèmes complexes, en particulier dans les applications avec peu d'interaction utilisateur (telles que les applications serveur).

Cette définition s'appliquerait aux administrateurs système, aux techniciens informatiques, aux ingénieurs de bureau, etc. Si le point final rencontre un problème, les journaux d'événements peuvent être interrogés pour trouver des indices sur ce qui a conduit au problème. Le système d'exploitation, par défaut, écrit des messages dans ces journaux.

En tant que défenseurs (équipes bleues), il existe un autre cas d'utilisation des journaux d'événements. "Il peut également être utile de combiner les entrées de fichiers journaux provenant de plusieurs sources. Cette approche, combinée à une analyse statistique, peut produire des corrélations entre des événements apparemment sans rapport sur différents serveurs.

C'est là que les SIEM (Gestion des informations de sécurité et des événements) comme Splunk et Elastic entrent en jeu.

Même s'il est possible d'accéder aux journaux d'événements d'une machine distante, cela ne sera pas réalisable dans un environnement de grande entreprise. Au lieu de cela, on peut afficher les journaux de tous les points de terminaison, appareils, etc., dans un SIEM. Cela vous permettra d'interroger les journaux de plusieurs appareils au lieu de vous connecter manuellement à un seul appareil pour afficher ses journaux.

Windows n'est pas le seul système d'exploitation à utiliser un système de journalisation. Linux et macOS le fait aussi. Par exemple, sur les systèmes Linux, le système de journalisation est appelé Journal système. Dans cette salle, cependant, nous nous concentrons uniquement sur le système de journalisation Windows appelé Windows Event Logs.

 

Obtenez les notes de l'équipe bleue

 

 

Réponses de la salle

Quel est l'ID d'événement du premier événement ?

Filtrez sur l'ID d'événement 4104. Quelle a été la deuxième commande exécutée dans la session PowerShell ?

Quelle est la catégorie de tâche pour l’ID d’événement 4104 ?

Pour les questions ci-dessous, utilisez l'Observateur d'événements pour analyser le journal Windows PowerShell.

Quel est le Catégorie de tâche pour l'ID d'événement 800 ?

Combien de noms de journaux y a-t-il dans la machine ?

Quelle est la définition du événements de requête commande?

Quelle option utiliseriez-vous pour fournir un chemin d’accès à un fichier journal ?

Quel est le VALEUR pour /q?

Les questions ci-dessous sont basées sur cette commande : wevtutil qe Application /c:3 /rd:true /f:text

Quel est le nom du journal ?

Quel est le /rd option pour ?

Quel est le /c option pour ?

Exécutez la commande depuis Exemple 1 (comme si). Quels sont les noms des journaux liés à OuvertSSH?
Exécutez la commande depuis Exemple 7. Au lieu de la chaîne *Politique* Rechercher *PowerShell*. Quel est le nom du troisième fournisseur de journaux ?

Exécutez la commande depuis Exemple 8. Utiliser Microsoft-Windows-PowerShell en tant que fournisseur de journaux. Combien d'ID d'événement sont affichés pour ce fournisseur d'événements ?

Comment spécifier le nombre d'événements à afficher ?

Lors de l'utilisation du FiltreHashtable paramètre et filtrage par niveau, quelle est la valeur de Informatif?

En utilisant Get-WinEvent et XPath, quelle est la requête permettant de rechercher des événements WLMS avec une heure système de 2020-12-15T01:09:08.940277500Z ?

En utilisant Get-WinEvent et XPath, quelle est la requête permettant de trouver un utilisateur nommé Sam avec un ID d'événement de connexion de 4720 ?

Sur la base de la requête précédente, combien de résultats sont renvoyés ?

D’après le résultat de la question #2, qu’est-ce que le message ?

Vous travaillez toujours avec Sam en tant qu'utilisateur, à quelle heure l'ID d'événement 4724 a-t-il été enregistré ? (MM/JJ/AAAA H:MM:SS [AM/PM])

Quel est le nom du fournisseur ?
Quel ID d’événement permet de détecter une attaque de rétrogradation PowerShell ?

Quel est le Date et l'heure cette attaque a eu lieu ? (MM/JJ/AAAA H:MM:SS [AM/PM])

UN Journal effacé l'événement a été enregistré. Qu'est-ce que « l'ID d'enregistrement d'événement » ?

Quel est le nom de l'ordinateur ?

Quel est le nom de la première variable de la commande PowerShell ?

Quel est le Date et l'heure cette attaque a eu lieu ? (MM/JJ/AAAA H:MM:SS [AM/PM])

Quel est le ID du processus d'exécution?

Quel est le ID de sécurité du groupe du groupe qu'elle a énuméré ?

Quel est l'identifiant de l'événement ?

Vidéo pas à pas

 

 

,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles