概述在日常安全运营过程,常见的一个情景就是出现安全事件后,在调查时发现没有相关的日志可以用来分析溯源,对攻击路径进行还原。一是因为本来就没有开启相关的审计日志,或者是日志被攻击者删除。作为SOC团队,...
04月19日安全闲碎2 views评论microsoft
soc
SOC日志收集建议
04月19日安全闲碎2 views评论microsoft
soc
04月19日安全闲碎2 views评论microsoft
soc
windows 日志分析
前置知识常用事件 ID 含义 Event ID(2000/XP/2003) Event ID(Vista/7/8/2008/2012) 描述 日志名称 528 4624 成功登录 Security 5...
04月04日6 views评论csv
extract
安服仔应急响应 LogParser 原生日志分析
create by pphua 2023/05/05logparser下载 https://www.microsoft.com/en-us/download/details.aspx?id=24659...
02月24日19 views评论microsoft
应急响应
【Windows取证篇】Window日志分析基础知识(一)
Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核,一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能,我们在系统审计取证分析时,可以根据案情、特定的时间...
02月01日21 views评论基础知识
日志文件
威胁狩猎之日志分析神器
前言对于攻防场景中,我们经常会遇到需要进行日志分析的时候,但是实战场景中,我们拿到的日志量经常是非常大的,很多时候是十几台主机的日志甚至更多。今天带来一个工具splunk,帮助我们快速分析。正文拿到安...
08月17日54 views评论可视化
日志分析
Windows日志清除绕过
在我们日常的攻防演练过程中,登录横向等行为大部分会记录在 Windows 日志中,这将会增加被溯源的风险,针对于windows日志痕迹清除主要总结了以下这些方法 0x01 关闭日志服务 #找出日志进程...
07月27日40 views评论evtx
日志
应急响应|入侵的通用处置流程
应急响应通用方法查看日志通过 cmd 输入 eventvwr.msc 打开事件查看器在 % SystemRoot%System32WinevtLogs 位置存放着日志文件常见的事件 ID安全日志sec...
06月13日43 views评论microsoft
应急响应
Windows | 事件日志类型总结
Windows事件日志记录主要分为安全、系统和应用程序等类型,在Vista、Win7、Server 2008,以及 Win10 和 Server 2019 扩展了自定义日志的数量,比如, PowerS...
06月06日79 views评论帐户
日志
对于黑客(红队)攻击后渗透痕迹抹除的一些研究(flower安全日志)
前言:前些天有师傅说护网没啥经验而学的时候对于痕迹隐藏或者痕迹清理啥的也没怎么学,所以今天跟大家讨论一下渗透后对于渗透痕迹的清理的一些基础,因为护网里内网环境是居多的所以今天先说下在服务器内的痕迹清理...
06月05日19 views评论powershell
后渗透
Revoke-Obfuscation:一款功能强大的PowerShell混淆检测框架
关于Revoke-Obfuscation Revoke-Obfuscation是一款功能强大的PowerShell混淆检测框架,该框架基于PowerShell开发,并且兼容Pow...
05月10日29 views评论powershell
研究人员
【后渗透】入侵痕迹清理windows篇
前言 痕迹清理,是“肾透”测试后期最重要的环节。”肾透“的最后一定会触发一场追踪与反追踪的游戏,为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP、清除系统...
03月14日328 views评论powershell
后渗透
日志分析三神器 【附下载链接】
一般来说,安全性日志都会有成千上万条,若不能想要分析的时间段,要以人工方式一一查看,那是一件很痛苦的事情。若能采用视觉化图形显示方式进行分析,比如通过excel或者html,再就重点事件排查,才是事半...
03月10日111 views评论parser
sage