JPCert ออก SysmonSearch เครื่องมือสำหรับการ analysis Sysmon log

JPCert มักจะเป็นองค์กรที่ออกเครื่องมือและคู่มือสำหรับการรับมือภัยคุกคามอยู่เสมอ ล่าสุดออกเครื่องมือสำหรับการวิเคราะห์ Sysmon เพื่อให้ง่ายต่อการหาการโจมตีหรือวิเคราะห์การโจมตีที่เกิดขึ้นได้ง่ายๆ นั่นคือเครื่องมือที่ชื่อว่า SysmonSearch วิธีการติดตั้งมี 2 ทางคือการ setup เองและการใช้งาน docker image หลังจากนั้นก็ส่ง log ไปยังเครื่องดังกล่าวด้วย Winlogbeat Source:: SysmonSearch
View Post

Microsoft ออก Sysmon version 6.10

Microsoft ออก Sysmon version 6.10 ซึ่งเป็น version ที่เพิ่ม feature สำคัญเข้ามา นั่นคือตัวที่ใช้ในการเก็บ activity ของ WMI นั่นเอง หากใครใช้อยู่ก็ไป download update กันได้ครับ Link วิธีการติดตั้ง Sysmon อะไรคือ WMI
View Post

ตัวอย่าง Event ที่ต้อง Monitor ในเครื่อง Windows

หลายๆครั้งที่เครื่อง Windows Server นั้นถูกแฮ็คแต่ผู้ดูแลนั้นรู้ตัวช้าเกินไป จนทำให้เกิดปัญหาบานปลายมากมาย ดังนั้นหากเรายิ่ง detect การถูกเจาะหรือการถูกแฮ็คได้เร็วเท่าไหร่ก็จะยิ่งเป็นผลดีต่อการทำ incident response ครับ มาดูกันว่าตัวอย่างวันนี้จะมีอะไรบ้างครับ Event Event ID Detail New Process Start 4688 เมื่อมีการ execute หรือ run process ใหม่ User Logon Success 4624…
View Post

วิธีการทำกราฟของ Sysmon โดยใช้ Neo4j

เราพูดถึง Sysmon มาหลายต่อหลายครั้งแล้ว ครั้งนี้จะเป็นการนำ log ของ Sysmon มาทำเป็นกราฟเพื่อให้ดูข้อมูลให้เห็นภาพง่ายขึ้นโดยใช้ Neo4j ครับ โดยเราจำเป็นต้องใช้ logstash ในการส่ง log ไปยัง Neo4j หรือจะส่งไปยัง ElasticSearch เพิ่มเติมก็ได้และสำคัญสุดคือเราจะใช้ Winlogbeat ในการอ่าน log ของ Sysmon ไปยัง Logstash จากนั้นก็เข้าลูปการส่งข้อมูลและแสดงผลที่ Neo4j ครับ โอเคพอไล่เสร็จหน้าตาจะออกมาเป็นแบบนี้ครับ…
View Post

วิธีการส่ง Log จากเครื่อง Windows ไปยังเครื่อง Centralize log อื่นๆ

หลังจากที่เราเคยพูดเรื่องการเก็บ log โดยใช้ Sysmon กันแล้ว ทีนี้หากเราต้องการจะส่ง log ไปเก็บข้อมูลอยู่ที่ Centralize Log Server เพื่อนำไปทำ Correlation กับ log อื่นๆ หรือการเก็บ log ตามพรบ.ก็แล้วแต่ เราสามารถทำได้โดยการติดตั้ง Agent เพิ่มเติม โดยในที่นี้เราจะใช้เป็น Solarwinds Event Log Forwarder for Windows สามารถทำได้ดังนี้…
View Post

วิธีตรวจสอบ Sysmon log ด้วย Powershell

ก่อนหน้านี้ผมเคยพูดถึงเรื่องการติดตั้ง Sysmon เพื่อคอยเก็บ log การทำงานใดๆบนเครื่อง ไม่ว่าจะเป็นการใช้งานคำสั่ง การสร้างไฟล์ การเปลี่ยนเวลาของไฟล์ และอื่นๆ โดยเปิด Event Viewer ขึ้นมา จากนั้นไปที่ Applications and Services Logs\Microsoft\Windows\Sysmon\Operational แต่หากเราต้องการจะ view log ของ Sysmon ผ่านทาง Powershell ก็สามารถทำได้เช่นกัน โดยใช้คำสั่งเป็น หากต้องการดูเฉพาะ activity…
View Post

Sysmon Shell – เครื่องมือสำหรับการสร้าง Configuration ของ Sysmon

ก่อนหน้านี้เราพูดถึงการใช้งาน Sysmon ในการ log การทำงานใดๆ ซึ่งตัว Configuration ของ Sysmon นั้นอยู่ในรูปแบบของ XML ซึ่งทำให้ผู้ที่ไม่เชี่ยวชาญอาจจะเขียน rule ในการ log ค่อนข้างยาก ดังนั้นสิ่งที่จะมาตอบโจทย์ทำให้งานได้ง่ายขึ้นนั่นคือ Sysmon Shell นั่นเอง โดยเราสามารถใช้ Sysmon Shell ในการแก้ไข XML Configuration ได้ ซึ่ง Sysmon Shell…
View Post

การติดตั้ง Sysmon เพื่อทำการ monitor activity ต่างๆภายในเครื่อง

Sysmon เป็น Windows Service ที่เมื่อติดตั้งไปแล้วมันจะคอย monitor และ log system activity ต่างๆไปยัง Windows Event Log แตกต่างกับ Antivirus/HIDS(Host-based Intrusion Detection System) ตรงที่ Sysmon จะ monitor ได้ลึกกว่า และกำหนดเงื่อนไขในการ log ได้ดีในการโจมตีที่ซับซ้อนมากๆ และการโจมตีที่เจาะจง Sysmon ใช้งาน…
View Post