Skip to content
EVTX parser

「{tag}」タグの記事: #threat-hunting

← ブログに戻る
Security.evtx でラテラル ムーブメントを検知する
実際の敵対者ツールが Windows 環境でホスト間を移動する仕組みと、PsExec、Impacket、WMIExec を捕える Security.evtx の正確なイベント ID の組み合わせ。
evtxlateral-movementdfirincident-response
PowerShellロギング: モジュールロギングとスクリプトブロックロギングを有効にすると何が得られるか
PowerShellのモジュールロギング、スクリプトブロックロギング、トランスクリプト、AMSIバッファの実用的な違いと、本当に役立つものを有効にするGPO設定について。
evtxpowershelldfirlogging
実際の攻撃者を捕らえるSysmon設定
Sysmonに関する意見: IRで本当に重要なイベントID、なぜolafhartong/sysmon-modularが正しいベースラインなのか、そして実際の攻撃に対してあなたを盲目にする設定ミス。
sysmonevtxdetection-engineeringdfir