Clever Geek Handbook

Eksploitasi pemantauan

Di artikel terakhir , kami mengumpulkan data untuk memantau eksploitasi kerentanan di Windows Server, yang berperan sebagai pengontrol domain. Pada artikel ini, kami akan mencoba memahami apakah mungkin untuk memantau kelas eksploit lain menggunakan alat ELK, Zabbix atau Prometheus.





Memanfaatkan klasifikasi dari sudut pandang pemantauan

- . .





? . โ„–1 :













, .





ELK, Zabbix Prometheus. .





. , . , . .





.





โ„–2 - - 699. , , 699 .





699 ? , . , CWE-120. , , . . .





, . , .





? . . VMMap. , , , .. ?





, . 699 , . , , , . :





  • ,









Mitre

. . , , .





CVE-2020-1472 Microsoft , , . . .





CVE-2020-0796. - , . 2 :





  1. Remote Code Execution





  2. Local Priveledge Escalation





, . - , -.





. github C++. , .





:





loopback 445 . . , primary . cmd.exe. ? :





, , . "Security" . ? 2 :





  1. IDS loopback





  2. Endpoint





3- . Windows , . SysMon. , , . . loopback , :





...
<RuleGroup name="" groupRelation="or">
        <NetworkConnect onmatch="exclude">
            ...
            <DestinationIp condition="is">127.0.0.1</DestinationIp> <==
            <DestinationIp condition="begin with">fe80:0:0:0</DestinationIp> <==
        </NetworkConnect>
    </RuleGroup>
...

. Windows 10 : Applications and Services Logs\Microsoft\Windows\Sysmon\Operational.





Sysmon :





sysmon.exe -accepteula -i sysmonconfig-export.xml

Sysmon:





, . Zabbix. . , .





P.S. Linux SysMon.







More articles:


All Articles