En el último artículo, recopilamos datos para monitorear la explotación de una vulnerabilidad en Windows Server, que tiene la función de controlador de dominio. En este artículo, intentaremos comprender si es posible monitorear otras clases de exploits usando herramientas ELK, Zabbix o Prometheus.
Explotar la clasificación desde el punto de vista del seguimiento
- . .
? . №1 :
, .
ELK, Zabbix Prometheus. .
. , . , . .
699 ? , . , CWE-120. , , . . .
, . , .
? . . VMMap. , , , .. ?
, . 699 , . , , , . :
,
Mitre
. . , , .
CVE-2020-1472 Microsoft , , . . .
CVE-2020-0796. - , . 2 :
, . - , -.
. github C++. , .
:
loopback 445 . . , primary . cmd.exe. ? :
, , . "Security" . ? 2 :
IDS loopback
Endpoint
3- . Windows , . SysMon. , , . . loopback , :
...
<RuleGroup name="" groupRelation="or">
<NetworkConnect onmatch="exclude">
...
<DestinationIp condition="is">127.0.0.1</DestinationIp> <==
<DestinationIp condition="begin with">fe80:0:0:0</DestinationIp> <==
</NetworkConnect>
</RuleGroup>
...
. Windows 10 : Applications and Services Logs\Microsoft\Windows\Sysmon\Operational.
Sysmon :
sysmon.exe -accepteula -i sysmonconfig-export.xml
Sysmon:
, . Zabbix. . , .
P.S. Linux SysMon.