네트워크에서 특정 유틸리티의 프로세스 또는 인수를 모니터링하려면 어떻게해야합니까?

0

공격자는 InstallUtil을 사용하여 신뢰할 수있는 Windows 유틸리티를 통해 코드 실행을 프록시 할 수 있습니다. 속성으로 장식 된 클래스를 실행하는 이진 내에서 속성을 사용하여 프로세스 화이트리스트를 우회하는 데 사용될 수도 있습니다.

프로세스 모니터링을 사용하여 조직 내에서 InstallUtil.exe의 실행 및 인수를 모니터링하려면 어떻게해야합니까?

예를 들어 splunk를 사용하거나 Active Directory에서 GPO를 만들 수 있습니까?

참조 : https://docs.microsoft.com/en-us/dotnet/framework/tools/installutil-exe-installer-tool

windows  active-directory  .net-framework  splunk 
Daniyal Naeem
소스

답변:

0

IIRC, 일반 Windows 이벤트 로그에는 사용 사례에 대한 세부 정보가 충분하지 않습니다. Windows 시스템에서 sysmon을 실행하고 Splunk에 출력을 기록해야합니다. 원하지 않는 실행을 감지하는 데 필요한 정보를 제공해야합니다.

RichG
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.