- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
蓝队技术 | 使用Sysmon日志识别和分析Windows恶意活动
要解决的问题 在开始本文的内容之前,我们需要先在脑海里记住以下几个问题,并带着这些问题来阅读本文: 1、Sysmon日志中,Event ID 11相关的事件日志总共有多少? Sysmon 背景 Sysmon日志是由Microsoft系统监视器(Sysmon)生成的事件日志,它们提供有关Windows上的系统级操作的详细信息,并记录进程启动、网络连接、文件和注册表修改、驱动程序和服务活动以及 WMI操作等活动,通过分析Sysmon日志,安全专家可以检测潜在风险、发现异常并响应安全事件,以增强整体系统监控和安全性。 Sysmon日志在这项工作中发挥着至关重要的作用,它提供了有价值的见解,并使组织能够加强其安全态势。 此时,还可以使用findstr(类似于Linux中的grep)来获取包含4292的日志条目,而4292则是之前进程分析中Firefox的进程ID。
2.1K10编辑于 2024-05-17 - 来自专栏WalkingCloud
Sysmon+Nxlog+GrayLog实现Windows服务器安全日志监控
Sysmon+Nxlog+GrayLog实现Windows服务器安全日志监控 Sysmon系统监视器是一种 Windows 系统服务和设备驱动程序,一旦安装在系统上,系统重启后,它仍驻留在系统重启中, 通过使用 Windows 事件收集或 SIEM 代理收集它生成的事件并随后分析这些事件,可以识别恶意或异常活动,并了解攻击者和恶意软件如何在你的网络上运行。 请注意 ,Sysmon 不提供其生成的事件的分析,也不尝试保护或隐藏自身免受攻击者的攻击。 => sysmonout </Route> (图片可点击放大查看) 3、启动nxlog服务 (图片可点击放大查看) 4、GrayLog配置Input 这里为了区别系统日志与Sysmon日志 日志 例如命令行ping www.baidu.com (图片可点击放大查看) 可以查到DNS查询日志和命令行进程日志 (图片可点击放大查看) (图片可点击放大查看)
4.2K20编辑于 2022-03-31 - 来自专栏北京马哥教育
10 分钟快速搭建 ELK 日志分析系统
Elasticsearch是实时全文搜索和分析引擎,提供搜集、分析、存储数据三大功能;是一套开放REST和JAVA API等结构提供高效搜索功能,可扩展的分布式系统。 Logstash是一个用来搜集、分析、过滤日志的工具。它支持几乎任何类型的日志,包括系统日志、错误日志和自定义应用程序日志。 Kibana是一个基于Web的图形界面,用于搜索、分析和可视化存储在 Elasticsearch指标中的日志数据。 具体的日志输出需求,进行具体的分析 三:ELK终极篇 安装reids # yum install -y redis 修改redis的配置文件 # vim /etc/redis.conf 修改内容如下 系统个日志开始-->错误日志-->运行日志-->访问日志 因为ES保存日志是永久保存,所以需要定期删除一下日志,下面命令为删除指定时间前的日志 curl -X DELETE http://xx.xx.com
8.7K2318发布于 2018-05-04 - 来自专栏Web技术布道师
10 分钟快速搭建 ELK 日志分析系统
Elasticsearch是实时全文搜索和分析引擎,提供搜集、分析、存储数据三大功能;是一套开放REST和JAVA API等结构提供高效搜索功能,可扩展的分布式系统。 Logstash是一个用来搜集、分析、过滤日志的工具。它支持几乎任何类型的日志,包括系统日志、错误日志和自定义应用程序日志。 Kibana是一个基于Web的图形界面,用于搜索、分析和可视化存储在 Elasticsearch指标中的日志数据。 具体的日志输出需求,进行具体的分析 三:ELK终极篇 安装reids # yum install -y redis 修改redis的配置文件 # vim /etc/redis.conf 修改内容如下 系统个日志开始-->错误日志-->运行日志-->访问日志 因为ES保存日志是永久保存,所以需要定期删除一下日志,下面命令为删除指定时间前的日志 curl -X DELETE http://xx.xx.com
80020发布于 2019-07-25 - 来自专栏FreeBuf
微软轻量级系统监控工具sysmon原理与实现完全分析
前情提要: 微软轻量级系统监控工具sysmon内核实现原理 微软轻量级监控工具sysmon原理与实现 前两次我们分别讲了sysmon的ring3与ring0的实现原理,但是当初使用的版本的是8.X的版本 ,最新的版本10.X的sysmon功能有所增加,经过分析代码上也有变化。 hashVlaue算法id,hashvalue、三组进程相关的数据用户UserSid、进程ImageFileName、文件名FileName 可以看到内核里上报出来的事件类型是根据是否计算hash来判断,分别是10 BYTE OutBuffer[4002] = { 0 }; ULONG BytesReturned = 0; if ( SUCCEEDED( DeviceIoControl( hObjectDrv, SYSMON_REQUEST_PROCESS_INFO 今天的续篇就此结束,sysmon还是可以挖掘很多很实用得东西,比如每个事件里得ProcessGuid 并不是随机生成得,而是有一定算法得,具体读者可以自行研究发现。 ?
1.5K20发布于 2020-10-27 - 来自专栏小工匠聊架构
重识Nginx - 10 ngx_http_log_module日志模块 & GoAccess日志分析
文章目录 官网说明 access_log log_format open_log_file_cache 日志 GoAccess实现可视化并实时监控access日志 ---- 官网说明 https:// ; open_log_file_cache off; Default: open_log_file_cache off; Context: http, server, location ---- 日志 ---- GoAccess实现可视化并实时监控access日志 https://goaccess.io/ https://goaccess.io/get-started 第一步 [root@VM-0-7
36810编辑于 2022-10-04 - 来自专栏Bypass
推荐 | 10个好用的Web日志安全分析工具
一款简单好用的Web日志分析工具,可以大大提升效率,目前业内日志分析工具比较多,今天推荐十个比较好用的Web日志安全分析工具。 5、Logstalgia 一款非常炫酷且可视化日志分析工具,可以直观的展示CC攻击和网站的日志分析,并以可视化的3D效果展示出来。 7、web-log-parser 一款开源的分析web日志工具,采用python语言开发,具有灵活的日志格式配置。 9、Splunk 一款顶级的日志分析软件,如果你经常用 grep、awk、sed、sort、uniq、tail、head 来分析日志,那么你可以很容易地过渡到Splunk。 10、IBM QRadar Qradar有一个免费的社区版本,功能上和商用版本差别不大,适合小规模日志和流量分析使用。
3.5K12发布于 2020-07-02 - 来自专栏WhITECat安全团队
推荐 | 10个好用的Web日志安全分析工具
一款简单好用的Web日志分析工具,可以大大提升效率,目前业内日志分析工具比较多,今天推荐十个比较好用的Web日志安全分析工具。 5、Logstalgia 一款非常炫酷且可视化日志分析工具,可以直观的展示CC攻击和网站的日志分析,并以可视化的3D效果展示出来。 9、Splunk 一款顶级的日志分析软件,如果你经常用 grep、awk、sed、sort、uniq、tail、head 来分析日志,那么你可以很容易地过渡到Splunk。 10、IBM QRadar Qradar有一个免费的社区版本,功能上和商用版本差别不大,适合小规模日志和流量分析使用。 团队成员目前由起源实验室核心成员、一线安全厂商攻防实验室、某研究院、漏洞盒子TOP10白帽子等人员组成。团队内有不定期的技术交流,(不可描述)工具分享等活动,致力于实现“开放分享”的hack精神。
2.3K10发布于 2020-09-17 - 来自专栏全栈程序员必看
Windows系统日志分析_python日志采集分析
四、Windows日志实例分析 在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。 1. 五、WEB日志文件分析 以下列日志记录为例,进行分析: #Software: Microsoft Internet Information Services 6.0 #Version: 1.0 sxjyzx/2.gif - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0 分析 表示程序有错; sc-substatus 服务端传送到客户端的字节大小; cs–win32-statu客户端传送到服务端的字节大小; 1**:请求收到,继续处理 2**:操作成功收到,分析 有时是为了防止发生系统过载 503——服务器过载或暂停维修 504——关口过载,服务器使用另一个关口或服务来响应用户,等待时间设定值较长 505——服务器不支持或拒绝支请求头中指定的HTTP版本 FTP日志分析
2.4K10编辑于 2022-10-04 - 来自专栏中国白客联盟
基于splunk的主机日志整合并分析
大家都知道,主机日志格式过于杂乱对于日后的分析造成了不小的困扰,而splunk的轻便型、便携性、易安装性造就了其是一个日志分析的好帮手。 sysmon为例,把sysmon日志也同步过来。 首先我们在服务端上安装好sysmon 装好以后会在日志目录在出现sysmon日志文件 ? 我们可以先打开sysmon日志看下,发现日志比windows自带日志详细很多 ? = true 修改完以后最好重启一下,然后我们看下客户端,发现能够看到sysmon的日志也同步过来了,能够利用各种搜索语句便于我们后续的分析 ? PS:实际上,在win10、win8、win2012、win2016上面,是可以手动开启4688进程记录的,并且记录详细的命令信息。
1.8K20发布于 2018-08-20 - 来自专栏信安之路
利用真实或伪造的计算机账号进行隐秘控制
4、打开事件查看器,在“应用程序和服务日志/Microsoft/Windows/Sysmon/Operational”中即可查看 sysmon 的监控日志。 筛选事件 id 为 10(ProcessAccess)的日志,我们可以看到两次转储操作的日志。 至此,我们已经借助 sysmon 分析出当前操作系统中发生过的内存转储行为,当然防御时必须提前配置 sysmon 进行监控。 为了使用 sysmon 监控更多行为,也可以在安装 sysmon 时不添加过滤器,分析时使用事件查看器的过滤器进行筛选。 除了 sysmon,我们还可以使用功能比较强大的 SIEM 系统进行实时监控。 我们尝试从十多台服务器中分析事件 4985 的正常值。 ? 我们还观察了其他 4 台使用 Win7/Win10 的计算机。
2.8K11发布于 2019-05-31 - 来自专栏网络安全
威胁狩猎精准配置指南
与标准的Windows事件日志相比,Sysmon提供了更详细、高质量的日志信息和更精细的配置控制,是进行深度威胁狩猎和应急响应的基石。#####什么是Sysmon? Sysmon记录关于进程创建、网络连接、文件创建时间变更等详细信息。这些日志通常会被转发到SIEM(安全信息和事件管理)系统中进行聚合、关联和可视化分析,帮助分析师识别恶意或异常活动。 #####日志位置(LogLocation)Sysmon的事件日志存储在事件查看器的以下路径:ApplicationsandServicesLogs/Microsoft/Windows/Sysmon/Operational1 Bash展开代码语言:TXTAI代码解释#假设Sysmon.exe和配置文件位于同一目录下Sysmon.exe-accepteula-iswift.xml3.日志分析与最佳实践(LogAnalysisandBestPractices >PowerShell查询:PowerShell展开代码语言:TXTAI代码解释Get-WinEvent-Path<Path_to_Log>-FilterXPath'*/System/EventID=10and
24610编辑于 2026-01-08 - 来自专栏OneMoreThink的专栏
应急靶场(11):【玄机】日志分析-apache日志分析
1、提交当天访问次数最多的IP,即黑客IP 已知中间件是Linux上的Apache,常见日志路径一般是: /var/log/apache/ /var/log/apache2/ /var/log/httpd / 这里定位到日志路径是/var/log/apache2。 通过命令ls -lah根据文件大小,判断日志文件是access.log.1,因为access.log的大小是0。
1K10编辑于 2024-10-15 - 来自专栏FreeBuf
网络攻防对抗之“左右互搏术”
该方法基于Sysmon日志、ATT&CK标签日志、操作系统日志的分析实践,通过几种典型攻防对抗技术示例,着重介绍和分析攻击在主机层面特征,为蓝队人员“看得见”“看得清”网络威胁,提供了一种简单易学的技术修炼方法 攻击机:互联网云主机+CobaltStrike(以下简称CS)+云函数及API网关,虚拟机Windows10+CS+红队工具,虚拟机Kali或Ubuntu+Impacket等工具。 靶机:Windows2016、Windows11、Windows10、CentOS 8、Ubuntu20.04等虚拟机。 本项测试基于Sysmon产生的带有ATT&CK标签的日志。通过ATT&CK技战术分析日志,非常有助于蓝队攻击溯源和威胁狩猎。 总结 通过以上攻防对抗技术测试,将Sysmon EventID日志、带有ATT&CK标签日志和操作系统等日志,通过SEIM、SOC等安全系统进行关联分析,能有效提升企业网络威胁检测能力。
2K30编辑于 2023-02-24 - 来自专栏程序员奇点
GC 日志分析
GC 日志分析 首先,如果需要查看 GC 日志,需要在 jvm 参数中加入如下参数 -XX:+PrintGCTimeStamps -XX:+PrintGCDetails -Xloggc:d:/GClogs /tomcat6-gc.log GC 日志 2016-11-23T11:01:27.738+0800: 0.150: [GC [PSYoungGen: 331K->288K(5952K)] 331K- PSPermGen: 3060K->3060K(21248K)], 0.0052429 secs] [Times: user=0.01 sys=0.00, real=0.01 secs] Young GC 日志 image Full GC 日志分析 ? image JVM 参数设置 jvm 参数对应堆内存设置 ? image 比例设置 ? image JVM 相关参数说明 堆分配参数 -Xmn10M:设置新生代区域大小为10M -XX:NewSize=2M:设置新生代初始大小为2M -XX:MaxNewSize=2M:设置新生代最大值为
1.7K10发布于 2020-05-08 - 来自专栏OneMoreThink的专栏
应急实战(9):一次简简单单的应急
Prepare 1.1 开启日志记录 开启sysmon日志记录 开启apache日志记录 开启mysql日志记录 1.2 优化日志策略 优化security日志覆盖策略 2. 第一轮持续时间是2024年10月02日20时18分15秒至42秒,关键日志如下: 日志含义是: 1、登录phpMyAdmin 2、执行3个SQL语句,获得webshell 3、执行6个webshell 4、同上 继续排查sysmon日志,第二轮攻击执行的webshell命令与第一轮相同,直接贴图: 1、 2、 3、 4、 目前仅靠sysmon日志无法获取更多信息,因此使用沙箱对下载的恶意程序gauexjqv.exe 4.5 通过RDP创建的后门 排查sysmon日志,发现攻击者首先部署了winpcap工具。 日志无法获取更多信息,因此使用沙箱对恶意程序svchost.com进行分析。
26210编辑于 2024-10-15 - 来自专栏全栈程序员必看
Window日志分析
C、如何筛选 如果想要查看账户登录事件,在右边点击筛选当前日志,在事件ID填入4624和4625,4624 登录成功 4625 登录失败 D、事件ID及常见场景 对于Windows事件日志分析,不同的 net user USER PASSWORD /add net localgroup administrators USER /add 0x02 日志分析工具 A、Log Parser Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory 常见登录类型日志分析 https://blog.csdn.net/zhulinu/article/details/52747984 Windows 7和Windows Server 2008 R2 安全事件的说明 /www.jb51.net/hack/384430.html https://wenku.baidu.com/view/e86ad976e009581b6bd9ebcf.html Powershell日志分析
1.3K30编辑于 2022-09-07 - 来自专栏互联网老辛
nginx日志分析
在nginx.conf中定义的日志格式如下: http { ... 200 [-] 31 "http://www.abc.com/ProductPerspective/detail/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10 access-api-$(date -d "yesterday" +"%Y%m%d").log cron: 0 0 * * * /mydata/nginx/nginx.log.sh 从nginx服务器将日志数据传输到日志服务器 03", "Apr":"04", "May":"05", "Jun":"06", "Jul":"07", "Aug":"08", "Sep":"09", "Oct":"10 s.group(8) http_user_agent = s.group(9) http_x_forwarded_for = s.group(10
1.3K30发布于 2018-07-30 - 来自专栏全栈程序员必看
AWStats日志分析
AWStats日志分析系统介绍 1.AWStats日志分析系统 (1)Peri语言开发的一款开源日志分析系统 (2)可用来分析Apache、Samba、 Vsftpd、 IIS等服务 器的访问日志 (3 )信息结合crond等计划任务服务,可对日志内容定期进行分析 部署AWStats日志分析系统 1.安装AWStats软件包 2.为要统计的站点建立配置文件 3.修改站点统计配置文件 4.执行日志分析,并设置 crontab计划任务 访问AWStats分析系统 1.查看统计页面 2.设置网页自动跳转,方便访问 具体操作: 1.安装DNS和HTTP服务软件包 [root@localhost ~]# yum install 配置 (1)在win10主机上更改下DNS地址 (2)在浏览器上访问域名,保证能够进行对Apache访问 5.此时可以查看下日志文件,可以看出是来自IP地址为多少的主机来进行的访问 [root@localhost 远程共享并挂载 [root@localhost ~]# smbclient -L //192.168.100.7/ Enter SAMBA\root's password: OS=[Windows 10
93610编辑于 2022-09-13 - 来自专栏有价值炮灰
Nginx日志分析
日志采用默认的格式产生,一直也没太关注, 这次正好藉着博客改版,尝试分析下近期的日志,以对网站状态有个全局的了解。 网上有许多日志分析采用的是简单粗暴的bash脚本(awk)来进行处理, 好处是分析速度快,但坏处是拓展性不强,如果未来想要做图表或者在网页前端展示就比较麻烦了。 扯得有点远了,还是继续分析日志吧。 错误日志分析 错误日志也叫应用程序日志,主要用于方便开发者或者运维在出问题的时候排查原因。 分析 错误日志相对于访问日志要少(废话),但从中也能找到对我们有价值的信息。
1.9K30编辑于 2023-02-12
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号