หลายๆครั้งที่เครื่อง Windows Server นั้นถูกแฮ็คแต่ผู้ดูแลนั้นรู้ตัวช้าเกินไป จนทำให้เกิดปัญหาบานปลายมากมาย ดังนั้นหากเรายิ่ง detect การถูกเจาะหรือการถูกแฮ็คได้เร็วเท่าไหร่ก็จะยิ่งเป็นผลดีต่อการทำ incident response ครับ มาดูกันว่าตัวอย่างวันนี้จะมีอะไรบ้างครับ
Event |
Event ID |
Detail |
New Process Start |
4688 |
เมื่อมีการ execute หรือ run process ใหม่ |
User Logon Success |
4624 |
เมื่อมีการ logon success |
Share Accessed |
5140 |
เมื่อ user มีการเข้าถึงส่วน share |
New Service Installed |
7045 |
เมื่อมีการสร้าง serviceใหม่ |
Network Connection Made |
5156 |
เมื่อมีการสร้าง connection ใดๆ สิ่งที่เราสนใจคือ process ใดเป็นผู้สร้าง และสร้างไปไหนครับ |
File Auditing |
4663 |
เมื่อมีไฟล์ใหม่เกิดขึ้น หรือมีการแก้ไขหรือลบไฟล์ทิ้ง |
Registry Auditing |
4657 |
เมื่อมี Registry เกิดขึ้น หรือมีการแก้ไขหรือลบ Registry ทิ้ง |
Using Powershell |
500 |
เมื่อมีการใช้งาน Powershell |
Firewall was changed |
2004 |
เมื่อมีการ rule firewall |
Schedule task add |
106 |
เมื่อมีการเพิ่ม schedule task |
PSEXEC |
4697/7045 |
เมื่อมีการใช้งาน psexec (Pass-the-hash) command |
Source:: Splunk Cheat Sheet. Matt B Article