Posts by tag
defensive
พอดีไปอ่านเจอเรื่อง incident analysis จากงาน Splunk Conf2015 เลยมาทำสรุปในนี้ เผื่อลืมจะได้หยิบมาใช้ได้อีกง่ายๆไม่ต้องหาอะไรมากมาย รวมถึงเพื่อให้ผู้อ่านได้รับทราบเผื่อเอาไปค้นหาเหตุการณ์ที่ผิดปกติในองค์กรด้วยครับ (แต่เหนือสิ่งอื่นใดบทความนี้จะใช้ได้หรือไม่ได้ขึ้นอยู่กับ visibility หรือก็คือการ logging ที่ครบถ้วนด้วยครับ ไม่งั้นก็จบครับ สืบหา root cause ได้ยากเลยครับ) EventCode 4624/528/540 สำหรับการ logon
EventCode 4688/592 เพื่อดูเรื่องการใช้ command ต่างๆ (สร้าง…
1 |
index=windows LogName=Security EventCode=4624 NOT (host=“DC1" OR host=“DC2" OR host=“DC...”) NOT (Account_Name="*$" OR Account_Name="ANONYMOUS LOGON") NOT (Account_Name=“Service_Account") | eval Account_Domain=(mvindex(Account_Domain,1)) | eval Account_Name=if(Account_Name="-",(mvindex(Account_Name,1)), Account_Name) | eval Account_Name=if(Account_Name="*$",(mvindex(Account_Name,1)), Account_Name) | eval Time=strWime(_Ome,"%Y/%m/%d %T") | stats count values(Account_Domain) AS Domain, values(host) AS Host, dc(host) AS Host_Count, values(Logon_Type) AS Logon_Type, values(WorkstaOon_Name) AS WS_Name, values(Source_Network_Address) AS Source_IP, values(Process_Name) AS Process_Name by Account_Name | where Host_Count > 2 |
โพสต์นี้จะเน้นเนื้อหาง่ายๆให้กับคนทั่วไปได้ทราบถึงภัยคุกคามที่เครื่องอาจถูกยึดได้โดยไม่รู้ตัวนะครับ เรามาดูกันว่าเป็นอะไรได้บ้างครับ 1. การไม่ update OS, Application ที่ยกเหตุผลนี้ขึ้นมาอันแรกเพราะเนื่องด้วยการแพร่กระจายของ WannaCry เมื่อ 2 สัปดาห์ก่อนที่ผ่าน(เริ่มวันแรกคือวันศุกร์ที่ 12/05/2017) นั่นเอง ทุกๆท่านทราบดีว่า WannaCry แพร่กระจายผ่านการโจมตีช่องโหว่ MS17-010 ซึ่งหากเราได้อัพเดต OS และ software ต่างๆอย่างสม่ำเสมอล่ะก็ WannaCry ก็ WannaCry เหอะ ต่อให้มันดังแค่ไหนก็ทำอะไรเราไม่ได้ครับ 2. การใช้ OS หรือ…
เราทราบกันดีว่า Ransomware นั้นร้ายกาจเพียงใด ส่งผลกระทบให้กับงานที่ทำและธุรกิจบริษัทเพียงใด บริษัท i-secure จำกัดจึงได้เขียนคู่มือการรับมือ Ransomware ให้กับบุคคลทั่วไปและเหล่า admin ได้เตรียมพร้อมกับภัยคุกคามที่ชื่อว่า ransomware ครับ (เผื่อสำหรับคนที่ไม่ทราบว่า Ransomware คืออะไร Ransomware คือ malware ชนิดหนึ่ง Ransomware นั้นเป็นการประกอบกันระหว่าง Ransom + Software เป็น malware ที่จะทำการเข้ารหัสไฟล์ภายในเครื่องของเหยื่อ และเรียกค่าไถ่จากเหยื่อในการที่จะถอดรหัสไฟล์เหล่านั้นให้กลับมาเปิดอ่านได้เหมือนเดิม โดยปกติ Ransomware…
Recent Comments