introduzione

Abbiamo trattato l'indagine su un incidente informatico con Splunk. Abbiamo analizzato gli eventi generati sui computer Windows compromessi e scoperto gli artefatti dell'attacco. Questo faceva parte ProvaHackMe Indagando con Splunk

Scenario

SOC Analista Johny ha osservato alcuni comportamenti anomali nei log di alcune macchine Windows. Sembra che l'avversario abbia accesso ad alcune di queste macchine e abbia creato con successo alcune backdoor. Il suo manager gli ha chiesto di estrarre i registri da host sospetti e di inserirli in Splunk per un'indagine rapida. Il nostro compito come SOC L'analista deve esaminare i registri e identificare le anomalie.

 

Note sul campo SIEM Splunk

 

Risposte alle sfide

Quanti eventi sono stati raccolti e importati nell'indice principale?

Su uno degli host infetti l'aggressore è riuscito a creare un utente backdoor. Qual è il nuovo nome utente?

Sullo stesso host è stata aggiornata anche una chiave di registro relativa al nuovo utente backdoor. Qual è il percorso completo di quella chiave di registro?

Esaminare i log e identificare l'utente che l'avversario stava tentando di impersonare.

Qual è il comando utilizzato per aggiungere un utente backdoor da un computer remoto?

Quante volte è stato osservato il tentativo di accesso da parte dell'utente backdoor durante l'indagine?

Qual è il nome dell'host infetto su cui sono stati eseguiti comandi Powershell sospetti?

PowerShell la registrazione è abilitata su questo dispositivo. Quanti eventi sono stati registrati per l'esecuzione dannosa di PowerShell?

Uno script PowerShell codificato dell'host infetto ha avviato una richiesta web. Qual è l'URL completo?

Videoprocedura dettagliata

, , ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli