搜索

[10984] 2017-02-03_使用Sysmon和Splunk探测网络环境中横向渗透

文档创建者:s7ckTeam
浏览次数:4
最后更新:2025-01-18
2017-02-03_使用Sysmon和Splunk探测网络环境中横向渗透 使 S y s m o n S p l u n k e v i l e o   F r e e B u f   2 0 1 7 - 0 2 - 0 3 S y s m o n S I E M S y s m o n   +   S p l u n k   l i g h t s y s m o n s y s m o n p o w e r s h e l l . e x e s y s m o n   - i   - n -   M i c r o s o f t     -   W i n d o w s   -   S y s m o n   -   O p e r a t i o n a l
i n p u t s . c o n f s p l u n k s y s m o n S p l u n k S p l u n k   A d d - o n   f o r   M i c r o s o f t S y s m o n h t t p s : / / s p l u n k b a s e . s p l u n k . c o m / a p p / 1 9 1 4 / # / o v e r v i e w [ W i n E v e n t L o g : / / M i c r o s o f t - W i n d o w s - S y s m o n / O p e r a t i o n a l ] d i s a b l e d   =   f a l s e r e n d e r X m l   =   t r u e s o u r c e t y p e = " X m l W i n E v e n t L o g : M i c r o s o f t - W i n d o w s - S y s m o n / O p e r a t i o n a l "  
S p l u n k   L i g h t . S p l u n k S y s m o n S y s m o n I D E v e n t   I D   1 :   P r o c e s s   c r e a t i o n     E v e n t   I D   3 :   N e t w o r k   c o n n e c t i o n   I D S y s m o n S M B C : P r o g r a m F i l e s S p l u n k e t c a p p s s o u r c e t y p e = " X m l W i n E v e n t L o g : M i c r o s o f t - W i n d o w s - S y s m o n / O p e r a t i o n a l "
使 使 S M B s p l u n k S y s m o n s o u r c e t y p e = X m l W i n E v e n t L o g : M i c r o s o f t - W i n d o w s - S y s m o n / O p e r a t i o n a l 1 9 2 . 1 6 8 . 1 . 9 0   4 4 5   |   t a b l e   _ t i m e ,   E v e n t C o d e ,   E v e n t D e s c r i p t i o n ,   h o s t ,   S o u r c e I p , s r c _ p o r t ,   U s e r ,   D e s t i n a t i o n I p ,   D e s t i n a t i o n P o r t ,   I m a g e ,   P r o c e s s I D ,   P r o t o c o l S M B n e t   u s e   1 9 2 . 1 6 8 . 1 . 8 8 n e t s t a t   n a o   |   f i n d " E S T A B L I S H E D "
W i n d o w s / / S M B 使 P o w e r S h e l l P o w e r S h e l l   W i n d o w s   R e m o t e M a n a g e m e n t   ( W i n R M )   5 9 8 5 5 9 8 6 S p l u n k S y s m o n   使 W i n R M 5 8 9 6 W i n R M   R e m o t e   P o w e r S h e l l   w s m p r o v h o s t . e x e p i n g . e x e s y s t e m i n f o . e x e s o u r c e t y p e = " X m l W i n E v e n t L o g : M i c r o s o f t - W i n d o w s - S y s m o n / O p e r a t i o n a l " 5 9 8 5   O R   5 9 8 6   |   t a b l e   _ t i m e ,   E v e n t C o d e ,   E v e n t D e s c r i p t i o n ,   h o s t ,   S o u r c e I p , s r c _ p o r t ,   U s e r ,   D e s t i n a t i o n I p ,   D e s t i n a t i o n P o r t ,   I m a g e ,   P r o c e s s I D ,   P r o t o c o l s o u r c e t y p e = " X m l W i n E v e n t L o g : M i c r o s o f t - W i n d o w s - S y s m o n / O p e r a t i o n a l " w s m p r o v h o s t . e x e   |   t a b l e   _ t i m e ,   E v e n t C o d e ,   E v e n t D e s c r i p t i o n ,   h o s t ,   I m a g e , P r o c e s s I D ,   P a r e n t P r o c e s s I d ,   C o m m a n d L i n e
使 使 S y s l o g + N X l o g   w i n d o w s t r a c k i n g _ h a c k e r s _ o n _ y o u r _ n e t w o r k _ w i t h _ s y s i n t e r n a l s _ s y s m o n . p d f * e v i l e o F r e e B u f . C O M
回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

使用Markdown编辑器编辑 使用富文本编辑器编辑

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理