{ Materijali sa druge radionice }:
Na drugoj radionici smo pokazali kako se instalira Sysmon, koji se moze preuzeti i instalirati po uputstvu sa zvanicne stranice gde su i primeri instalacije.
Program je u arhivi pa ga je potrbn otpakovati, i onda pokrenuti iz CMD ili Powershell-a (sa lokacije gde je otpakovan). Programu je potreban i konfiguracioni fajl, a najpopularniji je na Github strani SwiftOnSecurity.
Dodatno zanimljiva konfiguracija je i
Sysmon Modular koji ima mapiranja na pomenutu Att&ck MITRE matricu.
Ok, znaci instalacija je sledeca (ako su nam Sysmon i konfig fajl u folderu gde se trnutno nalazimo:
sysmon.exe -accepteula -i sysmonconfig-export.xml
Nakon toga ako otvorite Windows Event Viewer i navigirate na lokaciju iz menija:
Applications and Services Logs/Microsoft/Windows/Sysmon/Operational
videcete sve event-ove koje sysmon skuplja za vas. Tako na primer Event-ovi koji ima ID 22 su DNS i ako iz pretrazivaca odete na dmz.rs taj event cete moci da nadjete po ID 22 i imenu dmz.rs na koji je vas pretrazivac otiasao.
Fizicki log fajl se nalazi na lokaciji:
%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx
Posto sada imamo spreman server u krovu za vezbanje, podicic cemo VM na Proxmoxu i u njemu neke alate za vizuelizaciju ovih Sysmon logova kao sto su:
- Sysmon View (sysmon Tools) - Github, uputstvo
- GraphViz + PSQuickGraph - Powershell
- SysmonSearch - Github
- Epagneul - Github
- LogonTracer - Github
- Beagle - Github
Pored pomenutih alata za vizualizaciju postoje alati i za ThreatHunting ili lova na prenje kroz event-ove koji su zabelezeni u logovima.
- APT-Hunter - Github
- Hayabusa - Github
- Chainsaw - Github
- Zircolite - Github
A onda se mozemo poigrati i sa alatima za zaobilazenje ovih security resenja kao sto su:
- Phant0m - Github
- Ghost-in-The-Logs - Github
(Petar)