[Tryhackme] Endpoint Logging and Monitoring 엔드포인트 모니터링 도구
이번에는 실시간 이벤트 뿐만 아니라 엔드포인트 로깅을 보고 여러 엔드포인트에서의 이벤트들을 살펴보고
비정상 징후 탐지, 이벤트 수집에 대해 알아보자
Windows Event Log
Windows 이벤트 로그는 윈도우 API를 사용해서 XML 형식으로 변환한 raw 데이터다. 이 로그파일의 이벤트들은 .evt .evtx 확장자로 바이너리 포맷으로 저장되며 .evtx 파일은 C:\Windows\System32\winevt\Logs 경로에 위치함
이벤트 로그를 살펴볼려면 세 가지 방법을 사용하면 된다
- Event Viewer(GUI)
- Wevtutil.exe(CLI)
- Get-WinEvent(Powershell cmdlet)
두 번째 방법을 사용해서 로그를 살펴보자
wevtutil gl System /f:xml
시스템 로그 구성정보를 xml 형식으로 보여준다
wevtutil qe Application /c:3 /rd:true /f:text애플리케이션 로그에서 가장 최근 세개의 이벤트를 텍스트 형식으로 보여준다
Sysmon
윈도우 로그 이벤트 모니터링에 사용되는 툴. 비정상징후 탐지에 도움이 되는 이벤트 추적같은 상세하고 품질이 높은 로그를 수집한다. SIEM 같은 로그 파싱툴에서 이벤트 수집, 필터링, 시각화에 사용할 수 있다
https://blog.plainbit.co.kr/sysmon-concepts-installations/
A Practical guide for Sysmon : Concept and install
1. 개요 코로나19 이후, 비대면 원격근무 환경이 확산되면서 보안에 취약할 수 있는 PC, 프린터 등 엔드포인트(EndPoint) 기기를 노린 침해사고가 증가하고 있다. 또한 사이버 공격 도구를 거래하는
blog.plainbit.co.kr
osquery
osquery는 윈도우, 맥, 리눅스에서 사용 가능한 오픈소스 툴이고 페이스북에서 개발함
C:\Users\Administrator\> osqueryi
Using a virtual database. Need help, type 'help'osquery> select pid,name,path from processes where name='lsass.exe';
+-----+-----------+-------------------------------+
| pid | name | path |
+-----+-----------+-------------------------------+
| 748 | lsass.exe | C:\Windows\System32\lsass.exe |
+-----+-----------+-------------------------------+
osquery>
https://github.com/osquery/osquery
GitHub - osquery/osquery: SQL powered operating system instrumentation, monitoring, and analytics.
SQL powered operating system instrumentation, monitoring, and analytics. - osquery/osquery
github.com