Skip to content
EVTX parser

「{tag}」タグの記事: #incident-response

← ブログに戻る
Security.evtx でラテラル ムーブメントを検知する
実際の敵対者ツールが Windows 環境でホスト間を移動する仕組みと、PsExec、Impacket、WMIExec を捕える Security.evtx の正確なイベント ID の組み合わせ。
evtxlateral-movementdfirincident-response
イベント ログ クリアと、生き残るギャップ
攻撃者が Windows イベント ログをどうクリアするか、ディスク上と転送チャネルにどんな証拠が残るか、そして wevtutil cl と Invoke-Phant0m のようなスレッド停止ツールの違い。
evtxanti-forensicsdfirincident-response
EVTX トリアージ: 1 時間と 1 台のホストがあるときに最初に読むもの
インシデント レスポンス中の Windows イベント ログ トリアージのための実務家の操作順序 — どのチャネルが重要か、どの Event ID が嘘をつくか、Sysmon がどこで重労働をするか。
evtxincident-responsewindows-event-logssysmon