Как я могу отслеживать процесс или аргументы определенной утилиты в моей сети?

Question

Как я могу отслеживать процесс или аргументы определенной утилиты в моей сети?

Злоумышленники могут использовать InstallUtil для прокси выполнения кода через доверенную утилиту Windows. Его также можно использовать для обхода белых списков процессов путем использования атрибутов в двоичном файле, которые исполняют класс, украшенный атрибутом.

Как я могу использовать мониторинг процессов для мониторинга выполнения и аргументов InstallUtil.exe в моей организации?

Например, используя splunk или создавая объект групповой политики в Active Directory?

Ссылка: https://docs.microsoft.com/en-us/dotnet/framework/tools/installutil-exe-installer-tool

0

windows active-directory .net-framework splunk

Источник

Daniyal Naeem 08 янв '19 в 11:22

1 ответ

Другие вопросы по тегам windows active-directory .net-framework splunk

RichG 08 янв '19 в 13:37 2019-01-08 13:37 · Answer 1 · 2019-01-08 13:37

IIRC, в обычных журналах событий Windows недостаточно подробностей для вашего варианта использования. Вы должны запустить sysmon в своих системах Windows и записать вывод в Splunk. Это должно дать вам информацию, необходимую для обнаружения нежелательных казней.