พอดีไปอ่านเจอเรื่อง incident analysis จากงาน Splunk Conf2015 เลยมาทำสรุปในนี้ เผื่อลืมจะได้หยิบมาใช้ได้อีกง่ายๆไม่ต้องหาอะไรมากมาย รวมถึงเพื่อให้ผู้อ่านได้รับทราบเผื่อเอาไปค้นหาเหตุการณ์ที่ผิดปกติในองค์กรด้วยครับ (แต่เหนือสิ่งอื่นใดบทความนี้จะใช้ได้หรือไม่ได้ขึ้นอยู่กับ visibility หรือก็คือการ logging ที่ครบถ้วนด้วยครับ ไม่งั้นก็จบครับ สืบหา root cause ได้ยากเลยครับ)

  • EventCode 4624/528/540 สำหรับการ logon
  • EventCode 4688/592 เพื่อดูเรื่องการใช้ command ต่างๆ (สร้าง Process)
  • EventCode 4663/567 สำหรับการพยายามการเข้าถึง object
  • EventCode 5140/560 สำหรับการเข้าถึง network sharing
  • EventCode 5156 สำหรับการสร้าง connection
  • EventCode 7045/601 สำหรับการจัดการ service (install new serviced, change service state)
  • EventCode 7040 สำหรับการเปลี่ยน state ของ service
  • EventCode 4657 สำหรับการตรวจจับ change registry key
  • EventCode 106 สำหรับการสร้าง scheduled job
  • EventCode 501 สำหรับการใช้งาน powershell
  • EventCode 2004, 2005, 2006 สำหรับการสร้าง,แก้ไข,ลบ firewall rule

สำหรับการ log process creation
– Software\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled to DWORD – 1

Source:: Splunk