使用PowerShell跟踪恶CC防御意Windows服务器事件-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 行业资讯 > 使用PowerShell跟踪恶CC防御意Windows服务器事件

使用PowerShell跟踪恶CC防御意Windows服务器事件

小墨安全管家 2020-11-22 16:22 行业资讯 89 ℃
DDoS防御

使用PowerShell跟踪恶意Windows服务器事件

在本例中,您能够看到我在查询服务器名称本地实验室. 我使用FilterHashtable参数将事件范围缩小到安全事件日志和我要寻找的特定ID,那个地点是1102实例。好看特别简单,对吧?假如我想找到多个事件id,就像我前面提到的那么?没咨询题!您能够在示例中看到,我仍在查询同一具服务器,但这次我要寻找三个不同的事件ID,我找到了一具事件ID 4728和1102的实例。这不过一具服务器。您大概有多个服务器。所以,让我们扩展它的范围并查询服务器列表。只需添加一具foreach循环即可。从示例中能够看到,我在其中一具ActiveDirectory全局编录服务器上找到了事件ID 4728和1102。其他三个没有发觉任何事件服务器。那个不过能够使用PowerShell执行的事件日志审核的一具示例。PowerShell很适合快速修复和非常审计。假如您需要更强大的审核解决方案,我建议使用像Netwrix Auditor如此的工具。Netwrix Auditor从一开始就思量到了审核,防DDoS,而且它特别有效。假如你对PowerShell不太精通,不用担心。Netwrix基本在其Auditor产品中构建了smarts。无需为足本编写负担。Windows服务器每天大概生成数千甚至数十万个事件。大多数基本上从彻底安全的事件中创建的,系统治理员使用这些事件能够看到发生了啥。大概会生成一具事件,指示磁盘的可用空间不脚、Active Directory发生错误,或者系统治理员安装了某个软件。那个地点没啥好担心的。可是,DDoS防御,躲藏在这数千起正常事件背后的,大概是黑客攻击的迹象。一具治理者如何能在大海捞针呢?在治理员开始安装软件或打开足本编辑器之前,他必须举行一些背景研究。第一具任务是定义要寻找的内容。Windows生成数千个不同的事件。治理员需要找出这些事件中哪些大概表示安全性威胁。对如此做,DDoS防御,他首先需要参考一些常见的安全咨询题指标:安全权限被提升,用户帐户被放入重要组,或者安全日志被清除,这些基本上坏人。有特别多资源能够给你那个信息。发觉数据是怎么表示的当治理员决定了他要寻觅的操作之后,他的下一步算是发觉这些操作是怎么在Windows服务器上表现出来的。安全威胁有多种表现方式,但我们今天讨论的想法是经过Windows事件日志。找出哪些事件ID与这些潜在的安全威胁相关成为一具优先事项。我用过的一具特别好的工具是终极Windows安全指南。它包含在Windows服务器上生成的大多数与安全相关的事件及其事件ID.搜索对于数据,如今我们有情况要处理了。我们有需要注意的动作,这些动作是怎么表现出来的,以及代表这些动作的事件ID。如今是在服务器上执行查询以搜索这些事件的时候了。这算是Windows PowerShell语言派上用场的地点。PowerShell提供了一些方便但强壮的想法来查询Windows服务器上的事件日志。经过使用PowerShell查询事件日志,您也能够轻松地将查询分散到多个服务器上。让我们看一具怎么制作那个的例子发生了。Windows有很多不同的事件日志来记录很多不同类型的活动。我们要关注的是安全日志。安全日志是记录所有安全事件的地点(信不信由你)。然而,我们将要使用的想法在其他事件日志中也同样适用于好吧,让假如一具治理员发觉了三个不同的活动:安全日志已满–事件ID 1104审核日志已清除–事件ID 1102A成员已添加到启用安全的全局组–事件ID 4728从何处开始?第一步是使用名为Get WinEvent的PowerShell cmdlet。getwinevent是geteventlog的更高级版本,假如你听讲过的话。getwinevent尽管使用起来更复杂,但比geteventlog功能更强大,执行速度更快。让我们看一具使用Get WinEvent在单个服务器上寻找单个事件ID的示例。


DDoS防御

当前位置:主页 > 行业资讯 > 使用PowerShell跟踪恶CC防御意Windows服务器事件

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119