Posts by tag
log
การเก็บ Log ตามพรบ. คอมพิวเตอร์ จริงๆแล้วถ้าจะยกพรบ. คอมพิวเตอร์ฉบับเต็มๆมามันก็คงยาวเกิน ก็เลยยกจาก iLaw ที่เค้าทำสรุปไว้ให้แล้วละกัน โดยจาก ภาคผนวก ก. แนบท้ายประกาศกระทรวงไอซีทีเรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจราคอมพิวเตอร์ พ.ศ. 2550 ผู้ให้บริการซึ่งมีหน้าที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์แบ่งได้ ดังนี้ 1.1 ผู้ให้บริการแก่บุคคลทั่วไปในการเข้าสู่อินเทอร์เน็ต โดยจะแบ่งกลุ่มคนที่มีหน้าที่ออกเป็น ก. ผู้ประกอบกิจการโทรคมนาคมและการกระจายภาพและเสียง (Telecommunication and Broadcast Carrier) ข. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access…
พอดีไปอ่านเจอเรื่อง incident analysis จากงาน Splunk Conf2015 เลยมาทำสรุปในนี้ เผื่อลืมจะได้หยิบมาใช้ได้อีกง่ายๆไม่ต้องหาอะไรมากมาย รวมถึงเพื่อให้ผู้อ่านได้รับทราบเผื่อเอาไปค้นหาเหตุการณ์ที่ผิดปกติในองค์กรด้วยครับ (แต่เหนือสิ่งอื่นใดบทความนี้จะใช้ได้หรือไม่ได้ขึ้นอยู่กับ visibility หรือก็คือการ logging ที่ครบถ้วนด้วยครับ ไม่งั้นก็จบครับ สืบหา root cause ได้ยากเลยครับ) EventCode 4624/528/540 สำหรับการ logon
EventCode 4688/592 เพื่อดูเรื่องการใช้ command ต่างๆ (สร้าง…
|
1 |
index=windows LogName=Security EventCode=4624 NOT (host=“DC1" OR host=“DC2" OR host=“DC...”) NOT (Account_Name="*$" OR Account_Name="ANONYMOUS LOGON") NOT (Account_Name=“Service_Account") | eval Account_Domain=(mvindex(Account_Domain,1)) | eval Account_Name=if(Account_Name="-",(mvindex(Account_Name,1)), Account_Name) | eval Account_Name=if(Account_Name="*$",(mvindex(Account_Name,1)), Account_Name) | eval Time=strWime(_Ome,"%Y/%m/%d %T") | stats count values(Account_Domain) AS Domain, values(host) AS Host, dc(host) AS Host_Count, values(Logon_Type) AS Logon_Type, values(WorkstaOon_Name) AS WS_Name, values(Source_Network_Address) AS Source_IP, values(Process_Name) AS Process_Name by Account_Name | where Host_Count > 2 |
อันนี้เผื่อในกรณีการหาข้อมูลในการสร้างหรือแก้ไข Scheduled Task ของ Windows ครับ โดยปกติการสร้าง Scheduled Task จะใช้คำสั่งเป็น
Event ID Task Category 100 Task Started 101 Task Start Failed 102 Task completed 103 Action start failed 106…
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
Create ‘My Task’ to run C:RunMe.bat at 9 AM everyday: SchTasks /Create /SC DAILY /TN “My Task” /TR “C:RunMe.bat” /ST 09:00 Modify ‘My Task’ to run at 2 PM: SchTasks /Change /TN “My Task” /ST 14:00: Create ‘My Task’ to run C:RunMe.bat on the first of every month: SchTasks /Create /SC MONTHLY /D 1 /TN “My Task” /TR “C:RunMe.bat” /ST 14:00 Create ‘My Task’ to run C:RunMe.bat every weekday at 2 PM: SchTasks /Create /SC WEEKLY /D MON,TUE,WED,THU,FRI /TN “My Task” /TR “C:RunMe.bat” /ST 14:00 Delete the task named ‘My Task’: SchTasks /Delete /TN “My Task” โดยถ้าเป็น Task ที่กำหนดด้วย /RU "System" จะทำให้ scheduled task กลายเป็น Hidden Scheduled Task ทันที Schtasks /create /ru "System" /s localhost /tn "My Task" /tr "<path to my script>" /sc once /st %TaskTime% /F /V1 /Z |
หลายๆครั้งที่เครื่อง Windows Server นั้นถูกแฮ็คแต่ผู้ดูแลนั้นรู้ตัวช้าเกินไป จนทำให้เกิดปัญหาบานปลายมากมาย ดังนั้นหากเรายิ่ง detect การถูกเจาะหรือการถูกแฮ็คได้เร็วเท่าไหร่ก็จะยิ่งเป็นผลดีต่อการทำ incident response ครับ มาดูกันว่าตัวอย่างวันนี้จะมีอะไรบ้างครับ Event Event ID Detail New Process Start 4688 เมื่อมีการ execute หรือ run process ใหม่ User Logon Success 4624…
LINE@Techsuii.com
Recent Comments