6 EventID ที่ใช้สำหรับการ track incident

พอดีไปอ่านเจอเรื่อง incident analysis จากงาน Splunk Conf2015 เลยมาทำสรุปในนี้ เผื่อลืมจะได้หยิบมาใช้ได้อีกง่ายๆไม่ต้องหาอะไรมากมาย รวมถึงเพื่อให้ผู้อ่านได้รับทราบเผื่อเอาไปค้นหาเหตุการณ์ที่ผิดปกติในองค์กรด้วยครับ (แต่เหนือสิ่งอื่นใดบทความนี้จะใช้ได้หรือไม่ได้ขึ้นอยู่กับ visibility หรือก็คือการ logging ที่ครบถ้วนด้วยครับ ไม่งั้นก็จบครับ สืบหา root cause ได้ยากเลยครับ) EventCode 4624/528/540 สำหรับการ logon EventCode 4688/592 เพื่อดูเรื่องการใช้ command ต่างๆ (สร้าง…
View Post

5 เหตุผลที่ทำให้เครื่องโดนแฮ็ค

โพสต์นี้จะเน้นเนื้อหาง่ายๆให้กับคนทั่วไปได้ทราบถึงภัยคุกคามที่เครื่องอาจถูกยึดได้โดยไม่รู้ตัวนะครับ เรามาดูกันว่าเป็นอะไรได้บ้างครับ 1. การไม่ update OS, Application ที่ยกเหตุผลนี้ขึ้นมาอันแรกเพราะเนื่องด้วยการแพร่กระจายของ WannaCry เมื่อ 2 สัปดาห์ก่อนที่ผ่าน(เริ่มวันแรกคือวันศุกร์ที่ 12/05/2017) นั่นเอง ทุกๆท่านทราบดีว่า WannaCry แพร่กระจายผ่านการโจมตีช่องโหว่ MS17-010 ซึ่งหากเราได้อัพเดต OS และ software ต่างๆอย่างสม่ำเสมอล่ะก็ WannaCry ก็ WannaCry เหอะ ต่อให้มันดังแค่ไหนก็ทำอะไรเราไม่ได้ครับ 2. การใช้ OS หรือ…
View Post

วิธีการรับมือและป้องกัน Ransomware โดยบริษัท i-secure จำกัด

เราทราบกันดีว่า Ransomware นั้นร้ายกาจเพียงใด ส่งผลกระทบให้กับงานที่ทำและธุรกิจบริษัทเพียงใด บริษัท i-secure จำกัดจึงได้เขียนคู่มือการรับมือ Ransomware ให้กับบุคคลทั่วไปและเหล่า admin ได้เตรียมพร้อมกับภัยคุกคามที่ชื่อว่า ransomware ครับ (เผื่อสำหรับคนที่ไม่ทราบว่า Ransomware คืออะไร Ransomware คือ malware ชนิดหนึ่ง Ransomware นั้นเป็นการประกอบกันระหว่าง Ransom + Software เป็น malware ที่จะทำการเข้ารหัสไฟล์ภายในเครื่องของเหยื่อ และเรียกค่าไถ่จากเหยื่อในการที่จะถอดรหัสไฟล์เหล่านั้นให้กลับมาเปิดอ่านได้เหมือนเดิม โดยปกติ Ransomware…
View Post