Sysmon+Splunk(ThreatHunting)的实践(二)

  • A+
所属分类:安全文章

本来上期说ThreatHunting效果一般,实践一次不再搞了,

这周找到一个别人完美安装的metasploitable3-win2k8.box,

就顺手也又试了一下ThreatHunting,虽然也还是没达到预期,

但毕竟还是比之前有进步,就记录一下,

首先是win2k8里安装Sysmon,是不让装的,在网上搜,说是缺两个补丁,

官方都不给提供下载了,还好找到有人存在云盘里的,

Windows6.1-KB2533623-x64.msu,

Windows6.1-KB3033929-x64.msu,

安装完补丁,Sysmon就可以正常安装了,

这里更新一下Sysmon配置文件的手动生成方法,

把https://github.com/olafhartong/sysmon-modular项目下载到本地,

进入sysmon-modular目录,在powershell下执行命令,

. .Merge-SysmonXml.ps1,

Merge-AllSysmonXml -Path ( Get-ChildItem '[0-9]**.xml') -AsString | Out-File sysmonconfig.xml,

新的配置文件比直接下载的大不少,应该能多不少配置,

Sysmon的安装和SplunkUniversalForwarder的安装都跟上期一样,

让我眼前一亮的是,很快ThreatHunting这边效果就出来了,

Sysmon+Splunk(ThreatHunting)的实践(二)

这回着实好看了许多,但问题是我这还没做任何攻击呢,

做个真正的攻击吧,既然是metasploitable3-win2k8,那就不用再手动造powershell反弹shell了,直接上ms17_010_eternalblue,反弹shell是过来了,但是ThreatHunting这边也还是没反应,那就算了,还是收手吧。

本来答应一个朋友本周末实践零信任单包授权的,为了把ThreatHunting做个了结,只能下周再搞了。

顺便更新一下,之前说metasploitable3不容易build成功,本周还真都build成功了,不过win2k8的base安装iso是从官方下载不到了,也是还好找到其它下载的源,metasploitable3-win2k8的自己build出来跟rapid7两年前build出来的差不多,都不完美,服务不正常,倒是metasploitable3-ub1404新build出来的版本号比rapid7两年前build出来的高了不说,之前不正常的服务也都正常了,也算我没白折腾。

本文始发于微信公众号(云计算和网络安全技术实践):Sysmon+Splunk(ThreatHunting)的实践(二)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: