luda 要想对主机入侵进行有效的日志分析,可以简单地谈谈splunk联合sysmon对windows主机日志的直观分析。
**sysmon**是第三方主机系统的日志插件,可直接从百度下载
**splunk**是一个日志收集分析工具,可通过官网下载
* *先看整体图片* *
# #接下来,我将首先安装这两个工具# #
* *如何安装sysmon * *
从internet下载并打开sysmon安装包,使用cmd导航到当前目录,然后输入-i -n以完成安装(如果以管理员身份运行)。
此时,您可以在命令行中输入com,将其添加到事件查看器中。
选择Sysmon可查看本地操作的所有日志。
但是日志看起来重复且不明确。然后安装splunk以过滤和可视化事件。
* *如何安装sp lunk * *
到主页下载安装飞溅,安装后自动打开飞溅,您将看到以下界面
接下来,您必须连接到日志。
将以下内容写入Splunk目录的/etc/system/local中
[winevent log ://Microsoft-windows-sysmon/operational]
Disabled=false
RenderXml=true
我的版本是7.x.x版本in文件。这是目录,其他版本的inputs目录可能会有差异。可以使用everything搜索in的特定位置。
说明:由于权限关系,无法直接修改内部内容。您可以在桌面上新建相应的文件,添加内容,然后替换in文件。
此外,还必须安装插件。
插件名称如下:
' splunk ' add-on for Microsoft sysmon
可以走了
这个地址已经下载过了,或者直接百度了
解压到TA-microsoft_windows文件夹,然后放入Splunk\etc\apps目录即可
此时需要重新启动splunk,因为这是web版本,所以不能直接关闭电源并重新启动,因此必须通过以下方式重新启动splunk:
-在cmd命令中,打开安装路径下的bin目录
-输入stop,直到执行结束,然后结束splunk
再次按- start键,等待所有服务打开,然后完成重新启动
这时我们可以搜索我们的日志。
单击:Searchreporting
然后搜索:
source type=' xmlwineventlog : Microsoft-windows-sysmon/operational '
可以看到所有事件
* *使用powershell执行后门连接主机* *
接下来,您可以使用cobaltstrike生成powershell的后门,并连接到服务器以查看日志监控。
首先收获powershell的后门文件。
去页面访问后门文件是否正常,
好了,准备运行powershell后门文件。
成功联机
执行要打开的文件和打开过程任务
接下来,让我们看一下splunk日志
Ok,sysmon splunk联合进行主机日志分析仍然非常强大~
如果小伙伴想进一步深入,请查阅官方文件使用说明书。