Im letzten Artikel haben wir Daten gesammelt, um die Ausnutzung einer Sicherheitsanfälligkeit in Windows Server zu überwachen, die die Rolle eines Domänencontrollers hat. In diesem Artikel werden wir versuchen zu verstehen, ob es möglich ist, andere Klassen von Exploits mit ELK-, Zabbix- oder Prometheus-Tools zu überwachen.
Nutzen Sie die Klassifizierung aus Sicht der Überwachung
- . .
? . №1 :
, .
ELK, Zabbix Prometheus. .
. , . , . .
699 ? , . , CWE-120. , , . . .
, . , .
? . . VMMap. , , , .. ?
, . 699 , . , , , . :
,
Mitre
. . , , .
CVE-2020-1472 Microsoft , , . . .
CVE-2020-0796. - , . 2 :
, . - , -.
. github C++. , .
:
loopback 445 . . , primary . cmd.exe. ? :
, , . "Security" . ? 2 :
IDS loopback
Endpoint
3- . Windows , . SysMon. , , . . loopback , :
...
<RuleGroup name="" groupRelation="or">
<NetworkConnect onmatch="exclude">
...
<DestinationIp condition="is">127.0.0.1</DestinationIp> <==
<DestinationIp condition="begin with">fe80:0:0:0</DestinationIp> <==
</NetworkConnect>
</RuleGroup>
...
. Windows 10 : Applications and Services Logs\Microsoft\Windows\Sysmon\Operational.
Sysmon :
sysmon.exe -accepteula -i sysmonconfig-export.xml
Sysmon:
, . Zabbix. . , .
P.S. Linux SysMon.