Forum

Powersheli izlemek ...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Powersheli izlemek hak.

Revaha Bektaş
(@atlantisegidek)
Üye

Merhaba herkese,

Siber saldırılar ile makalelere baktığımda saldırgan bilgi toplayabilmek için hep powershell üzerinden işlemler yapıyor. Bunun neticesinde domainde ki tüm kullanıcıların powershele girdiğinde veya powershel de çalıştırdıkları komutları görebileceğimiz bir tool var mıdır? Burada ki mantığı saldırıyı tespit etmek için sistem yöneticisine bir uyarı olarak düşünebilirsiniz. Böyle bir şey mümkün mü?

İkinci bir aşama olarak kullanıcıların powershele erişimini engellesek ne kadar mantıklı bir hareket etmiş oluruz? 

Teşekkürler.

Alıntı
Konu başlatıcı Gönderildi : 13/11/2020 16:00
Gökhan YÜCELER
(@gokhanyuceler)
Saygın Üye

Merhaba,

Öncelikle Microsoft, ps loglanabilmesi için powershell v5 ile gelen özellik olan, scripting ve modul logging seçeneklerini aktif etmeniz gerekmektedir. GPO altında advanced logging içinde bunları aktif ederseniz, event view altına bütün o makinada çalışan ps komutlarını görebilir hale gelebilirsiniz. Bu aşamadan sonra ister bir SIEM’e ( açık kaynak veya ücretli) logları yollayıp tek noktada kontrol edin, isterseniz makina üzerinden takip edebilirsiniz. Burada dikkat edilmesi gereken nokta, siz PS script logging açınca, ortamda sizin legal çalıştırdığınız scriptleri de loglayarak inceleme sürecini zorlaştırabilirsiniz. Bunun için de korelasyon yazarken, saldırganların kullandığı metotları belirtmeniz ve özellikle o satırlar oluştuğunda alarm üretmenizi tavsiye ederim

IEX (New-Object Net.Webclient).download

Gibi.

konu başlı başına bir webcast konusu olduğu için özet olarak değindim

CevapAlıntı
Gönderildi : 13/11/2020 16:36
Paylaş: