安全是有分量的

服务器防ddos_广东高防服务器_如何解决

2022-06-28 21:10栏目:方案

服务器防ddos_广东高防服务器_如何解决

微软发布了Sysmon 11,现在它提供了一个重要功能,允许您在受监控的系统上监控并自动归档删除的文件。

如果您不熟悉Sysmon或System Monitor,它是一个Sysinternal工具,免费ddos防御墙,用于监视系统中的恶意活动,并将这些事件记录到Windows事件日志中。

这使得管理员能够在网络被破坏后检测到网络上发生的恶意活动,金盾能防御cc么,或者执行事件响应和数字取证,以了解攻击是如何发生的。

随着版本11的发布,Sysmon现在可以监控文件删除,并在文件删除时自动存档。

当执行数字取证或缓解安全漏洞时,此工具对事件响应者非常有用。

当攻击者破坏网络时,防御ddos和cc攻击,免费国内高防cdn,他们将使用各种工具在整个网络中横向传播。

在获得对网络的完全访问并获取任何有价值的数据后,攻击者通常会将勒索软件等恶意软件部署到受害者的网络上,以加密所有设备。

攻击者通常会删除这些工具和恶意软件可执行文件,因此事件响应者和研究人员无法分析它们的弱点或了解它们是如何破坏网络的。

随着Sysmon新的文件删除监控和归档功能的添加,事件响应者将更容易访问攻击中使用的工具和恶意软件可执行文件。

通过这些文件,研究人员将更多地了解攻击者的战术、技术和程序(TTP),从而建立更好的防御。

要下载Sysmon 11,您可以转到其Sysinternal的Sysmon页面或从https://live.sysinternals.com/sysmon.exe.下载后,您需要从提升的命令提示符下运行它,因为它需要管理权限才能运行。

默认情况下,Sysmon将监视基本信息,如进程创建和文件时间修改,但也可以将其配置为记录许多其他事件。

要使用新的Sysmon 11文件删除和归档功能,我们需要将新的ArchiveDirectory和FileDelete配置选项添加到Sysmon配置文件中。

然后,可以使用以下命令将此配置文件加载到Sysmon中:

下面可以看到一个基本配置文件,用于启用文件删除监控并将所有删除的文件归档到\DeletedFiles文件夹中。

在配置文件中,我们指定ArchiveDirectory命名为"DeletedFiles"。此选项告诉Sysmon将已删除文件的副本存储在驱动器根目录中名为DeletedFiles的文件夹中。此文件夹名称可以更改为您选择的任何名称。

对于"FileDelete"选项,我们使用了onmatch="exclude"配置,但没有指定要排除的任何内容。此选项将使Sysmon监视所有已删除的文件。

一旦使用上述配置文件启动Sysmon,它将开始将文件删除事件记录到事件查看器中的应用程序和服务日志/Microsoft/Windows/Sysmon/Operational中。

下面您可以看到一个名为rw的文件示例。正在从%Temp%文件夹中删除exe。

根据我们的配置,当从C:\drive删除文件时,它将被归档到C:\DeletedFile中。所有存档文件将以"sha1 hash.extension"格式命名。

例如,上面的文件被归档为C:\DeletedFiles\C24FEDB9B8A592722D5A9ADB34D276FC3B329D6F。exe.

此存档目录受系统ACL保护,要访问它,火绒5.0防御ddos,您需要下载psexec。exe程序并使用以下命令启动具有系统权限的cmd提示符:

启动新命令提示符后,我们可以进入C:\DeletedFiles文件夹访问删除的文件。

上面的示例只是系统监视器在监视恶意活动时可以做什么的一个小示例。

对于那些想要了解更多关于Sysmon的人,强烈建议您阅读Sysinternals网站上的文档并使用该工具。

没有更好的方法来学习如何使用此程序,然后创建配置文件,查看哪些事件写入事件日志。

如果您想使用一个预先制作好的Sysmon配置文件来监控恶意流量和威胁,那么可以在GitHub上使用SwiftOnSecurity的Sysmon配置文件。