来自 资讯 2021-07-14 00:20 的文章

海外高防ip_高防云盘_解决方案

海外高防ip_高防云盘_解决方案

2014年,SANS发布了一个名为"知道异常……发现邪恶"的数字取证海报。该资源深入探讨了正常和异常行为之间的差异,以及在数字取证调查中你可能会寻找或忽略的东西。挑战使用此参考指南和其他Windows知识,您可以实时查找与正常Windows行为的偏差。这使您可以更快地看到试图隐藏在窗口中的可疑活动。解决方案对关键窗口进程的几个查询具有特殊价值:流程从何处启动?它是父进程还是创建者进程?帐户是否用于启动进程?这个过程是什么时候开始的?我们需要一个日志源,它提供启动的进程名、启动的位置和父进程名。Windows 10之前的Windows版本不会在审核日志中提供此信息,因此可以使用Microsoft System Monitor Sysmon工具来提供更深层次的可见性。Sysmon的开箱即用的处理规则将父进程分配给"objectname"元数据字段,因此我们可以直接使用它来提供所需的可见性。不寻常的父母首先,创建一个AI引擎规则,该规则查找以异常父进程名称开头的关键Windows进程的出现情况。典型的用例是恶意软件启动一个新进程,该进程伪装成一个内置的Windows进程,以试图隐藏新进程。将此规则称为"可疑:Windows进程异常父级"单击图像展开[图3。AI引擎规则不寻常的文件夹下一步,创建一个规则来查找那些进程名在它们通常的文件夹位置之外开始的出现情况。典型的使用案例是恶意软件试图从非系统文件夹启动伪装成通用Windows进程名的进程。将此规则称为"可疑:Windows处理错误的文件夹。"图6。AI引擎规则可疑:Windows处理错误的文件夹不寻常帐户下一步,您将要创建一个规则,以查找由异常用户帐户启动的进程名的出现情况。这里的典型用例是在用户帐户下运行的恶意软件,试图启动伪装成通用Windows进程名的进程。将此规则称为"可疑:Windows进程异常帐户"可疑:Windows进程异常帐户"图9。AI引擎规则异常开始时间现在,搭建高防cdn,创建一个规则,查找在系统启动时以外的任何时间启动的进程名的出现情况。因为这些进程只在系统启动时启动,所以试图伪装成其中一个进程的恶意软件是这里的典型用例。将此规则称为"可疑:Windows进程异常开始时间"可疑:Windows进程异常启动时间"图12。规则块关系可疑:Windows进程异常启动时间"图14。AI引擎规则可疑:Windows进程启动时间异常管理警告因为所有这些规则都是密切相关的,防御ddoscc,如果其中一个发生火灾,两个或多个也可能发生火灾。为了减少警报疲劳,最好将之前的四个AI引擎规则配置为只生成AI引擎事件,然后创建一个全局性的"Windows查找邪恶"AI引擎规则,当上述一个或多个警报触发时将触发该规则。将抑制设置为一分钟,ddos防御隐藏源站ip,并将规则称为"可疑:Windows进程异常活动"例如,免费ddos防火墙,在这种情况下,我启动了lsm.exe文件"从临时文件夹。三个警报触发(事实上,防御系统,是同一事件),因为它符合所有三个AI引擎规则的标准。将这些转化为事件,并且只有最主要的警报火灾才能降低警报噪音。可疑:Windows处理异常活动"图17。AI引擎规则快速发现正常和异常行为之间的区别是打败攻击者的关键。这个人工智能引擎规则集将揭示异常进程的存在,这些进程试图将自己隐藏在过多的普通Windows进程中。LinkedIn Twitter Facebook Reddit电子邮件