前回の記事では、ドメインコントローラーの役割を持つWindowsServerの脆弱性の悪用を監視するためにデータを収集しました。この記事では、ELK、Zabbix、またはPrometheusツールを使用して他のクラスのエクスプロイトを監視できるかどうかを理解しようとします。
監視の観点から分類を悪用する
- . .
? . №1 :
, .
ELK, Zabbix Prometheus. .
. , . , . .
699 ? , . , CWE-120. , , . . .
, . , .
? . . VMMap. , , , .. ?
, . 699 , . , , , . :
,
Mitre
. . , , .
CVE-2020-1472 Microsoft , , . . .
CVE-2020-0796. - , . 2 :
, . - , -.
. github C++. , .
:
loopback 445 . . , primary . cmd.exe. ? :
, , . "Security" . ? 2 :
IDS loopback
Endpoint
3- . Windows , . SysMon. , , . . loopback , :
...
<RuleGroup name="" groupRelation="or">
<NetworkConnect onmatch="exclude">
...
<DestinationIp condition="is">127.0.0.1</DestinationIp> <==
<DestinationIp condition="begin with">fe80:0:0:0</DestinationIp> <==
</NetworkConnect>
</RuleGroup>
...
. Windows 10 : Applications and Services Logs\Microsoft\Windows\Sysmon\Operational.
Sysmon :
sysmon.exe -accepteula -i sysmonconfig-export.xml
Sysmon:
, . Zabbix. . , .
P.S. Linux SysMon.