应急响应脚本

admin 2023年1月9日12:16:04评论18 views字数 1574阅读5分14秒阅读模式


        Windows 事件日志进行搜索的更好方法的解决方案。使用 Out-GridView,但如果需要,您可以使用 -raw 并导出到 csv/xls。也有原始搜索功能。


function Search-Event {      
Param(
[Parameter(Mandatory=$False)]
[string]$search="*",



[Parameter(Mandatory=$False)]
[string]$field=$null,



[Parameter(Mandatory=$False)]
[string]$value=$null,



[Parameter(Mandatory=$False)]
[int]$eventid=$null,



[Parameter(Mandatory=$False)]
[string]$logname,



[Parameter(Mandatory=$False)]
[datetime]$starttime,



[Parameter(Mandatory=$False)]
[datetime]$endtime,



[Parameter(Mandatory=$False)]
[switch]$raw=$False
)



$filter = @{
logname=$logname;
}



if($eventid) {
$filter['id'] = $eventid
}



if($starttime) {
$filter['StartTime'] = $starttime
}
if($endtime) {
$filter['EndTime'] = $starttime
}



$events = Get-WinEvent -FilterHashtable $filter -ErrorAction Continue | Where-Object { $_.Message -like "*$search*" }






if($events.Length -gt 0) {
[xml[]]$xmlevents = $events | % { $_.ToXml() }
[PSCustomObject[]]$results = $null



ForEach($xmlevent in $xmlevents) {
$eventData = $xmlevent.Event.EventData.Data
$row = [PSCustomObject][ordered] @{
TimeCreated=(get-date -date $xmlevent.Event.System.TimeCreated.SystemTime).ToString("MM/dd/yyyy hh:mm:ss tt")
Id = $xmlevent.Event.System.EventId
}
foreach($ed in $eventData) {
$row | Add-Member -NotePropertyName $ed.Name -NotePropertyvalue $ed."#text"
}
$row | Add-Member -NotePropertyName "xmlEvent" -NotePropertyValue $xmlevent
$continue = $False
if($field -and $value) {
if($row.$field -like $value) {
$results += $row
}
}
else {
$results += $row
}
}
if($raw) {
$results
}
else {
$results | Out-GridView -Title "Search-Event Results"
}
}
else {
Write-Warning "No events were found that matched your search query."
}           }


应急响应脚本


非常适合威胁追踪和 DFIR。也适用于查找在命令行上传递的凭据。


应急响应脚本


本文始发于微信公众号(Khan安全攻防实验室):应急响应脚本

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月9日12:16:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急响应脚本http://cn-sec.com/archives/534319.html

发表评论

匿名网友 填写信息