หลายๆครั้งที่เครื่อง Windows Server นั้นถูกแฮ็คแต่ผู้ดูแลนั้นรู้ตัวช้าเกินไป จนทำให้เกิดปัญหาบานปลายมากมาย ดังนั้นหากเรายิ่ง detect การถูกเจาะหรือการถูกแฮ็คได้เร็วเท่าไหร่ก็จะยิ่งเป็นผลดีต่อการทำ incident response ครับ มาดูกันว่าตัวอย่างวันนี้จะมีอะไรบ้างครับ

Event Event ID Detail
New Process Start 4688 เมื่อมีการ execute หรือ run process ใหม่
User Logon Success 4624 เมื่อมีการ logon success
Share Accessed 5140 เมื่อ user มีการเข้าถึงส่วน share
New Service Installed 7045 เมื่อมีการสร้าง serviceใหม่
Network Connection Made 5156 เมื่อมีการสร้าง connection ใดๆ สิ่งที่เราสนใจคือ process ใดเป็นผู้สร้าง และสร้างไปไหนครับ
File Auditing 4663 เมื่อมีไฟล์ใหม่เกิดขึ้น หรือมีการแก้ไขหรือลบไฟล์ทิ้ง
Registry Auditing 4657 เมื่อมี Registry เกิดขึ้น หรือมีการแก้ไขหรือลบ Registry ทิ้ง
Using Powershell 500  เมื่อมีการใช้งาน Powershell
Firewall was changed 2004 เมื่อมีการ rule firewall
Schedule task add 106 เมื่อมีการเพิ่ม schedule task
PSEXEC 4697/7045 เมื่อมีการใช้งาน psexec (Pass-the-hash) command

Source:: Splunk Cheat Sheet. Matt B Article