セキュリティインシデントレスポンス(C)

その他 2019-10-18 16:48:43 訪問数: null

Logprase

ダウンロード:

https://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=24659

 

使用

セキュリティログ

場合は、通常の時間帯を表示するには、メインの管理者ログイン
トロイの木馬は、管理者のログイン時間と対応するかどうかの時間を実行します

1
 
LogonType、EXTRACT_TOKEN( '|' 文字列、17、)など|ユーザ名として、EXTRACT_TOKEN | EVT -oデータグリッド「LoginTime、EXTRACT_TOKENとしてTimeGenerated SELECT(文字列、5、 '')(文字列、8、 ''):Log Parserツール-i ProcessNameの、EXTRACT_TOKEN( '|' 文字列、18、)などのセキュリティFROM SOURCEIPとしてどこイベントID = 4624とタイムスタンプ( '2019年5月30日'、 'YYYY-MM-DD')とTIMESTAMP BETWEEN TO_DATE(TimeGenerated)( '2019 -05-31' 、 'YYYY-MM-DD')」

システムログ

メインビュー、サービス名、サービスパス

1
 
Log Parserツール-i:EVT -o:DataGridが「TimeWritten、イベントID、イベントタイプ、EventTypeName、sourcenameに、EXTRACT_TOKEN(文字列、0、 '|')SELECT SERVICE_NAMEとして、EXTRACT_TOKEN(ストリングス、1、 '|')をservice_pathとして、システムからのメッセージWHERE TO_DATE(TimeGenerated)TIMESTAMP( '2019年5月30日'、 'YYYY-MM-DD')とタイムスタンプ( '2019年5月31日'、 'YYYY-MM-DD')BETWEEN」

アプリケーションログ

メインの表示プログラムの実行時間

1
 
Log Parserツール-i:EVT -o:データグリッド「アプリケーションSELECT * FROM WHERE TIMESTAMP BETWEEN TO_DATE(TimeGenerated)( '2019年5月30日'、 'YYYY-MM-DD')とタイムスタンプ( '2019年5月31日'、」 YYYY-MM-DD ')」

WMIC

Viewコマンドラインパラメータプロセス

1 
2 
3 
4 
5 
6 
7
 
プロセスキャプションWMIC、コマンド/値> tmp.txt GET 
WMICブリーフサービス一覧
WMICプロセスの一覧ブリーフ
WMICスタートアップリストは簡単には
//パッチをインストールするためにチェックし、時間情報
WMIC QFE 
WMIC QFEはキャプション、説明、HotFixID、InstalledOnをGET

DOSコマンド

1 
2 
3 
4 
5 
6 
7 
8
 
DIR [ドライブ:] [パス] [ファイル名]:[/ C] [/ D] [/ L] [/ N] [/ B] [/ A [[]は属性] / O [[:] SORTORDER] ] [/ P] [/ Q] [/ R&LT] [/ S] [/ Tは、[:] TimeField]] [/ W]は[/ X-] [/ 4]。
指定された属性ファイル/展示
   属性:D R Hのディレクトリは、読み取り専用のアーカイブのための準備ができて、隠しファイルを提出しない
 、私は何のコンテンツインデックスファイルの分析点のL Sファイルシステム- 「NO」を示し、接頭辞
/ Sは、指定されたディレクトリとサブディレクトリを表示する
ワイドフォーマットディスプレイリストとW / 
/ P 、フルスクリーンのポーズを表示する次の画面を表示し続けるために、任意のキーを押す
/ Qは、ファイルの所有者を表示します

コピーとXCOPY

コピーのみのフォルダにコピー、ファイルをコピーしませ
XCOPYは、フォルダやファイルをコピーすることができます

1 
2 
3 
4 
5
 
パラメータXCOPY 
、空のディレクトリを除く/ Sコピーのディレクトリとサブディレクトリ
の空のディレクトリを含む/ Eコピーのディレクトリとサブディレクトリ、
/エラーがコピーし続けて無視するC 
/隠されたHコピーとシステムファイルを

デル、DELTREE、RD

デルは、1つのまたは複数のファイルを削除することができ、フォルダを削除することはできません

DELTREEは、外部コマンドでは、ファイルやフォルダだけでなく、そのサブフォルダを削除することができます

RDは空のフォルダを削除するには、空のフォルダへの絶対パスを必要とします

1 
2 
3
 
デルのパラメータは、
/ sの再帰的な削除フォルダやファイル
/ qが削除を確認するメッセージが表示されていません

動き

1つまたは複数のファイルを移動します

1 
2
 
/ Yは、先のフォルダ内のファイルならば、同じ名前を持つ、プロンプトを無視し、元のファイルを直接上書き
/ -Y警告を

ATTRIB

ファイルの属性を変更します

1 
2 
3 
4 
5 
6 
7
 
パラメータATTRIB 
プロパティを設定+は
-属性を削除する
Rは読み取り専用ファイル
のアーカイブ
Sシステムファイル
H隠しファイルを

netstatコマンド

ネットワーク接続を表示し、ポート情報

1 
2 
3 
4 
5 
6 
7 
8 
9 
10 
11 
12 
13
 
NETSTATは[-a] [-b] [-e] [-n] [-o] [-pプロト] [-R&LT] [-s] [-t] [-V] [INTERVAL] 
-a表示コネクタとポートリスニング
接続または各実行可能コンポーネントのリスニングポートを作成し、ディスプレイに含まれる-bと、必要な権限
イーサネット統計表示-e 
デジタル形式で-nディスプレイをアドレスとポート番号
、各接続に関連する-o表示IDは、プロセスに属し
TCP、UDP、TCPv6の、UDPv6あることができ; -pプロトは、プロトコルが接続を示し指定
ルーティングテーブルを表示する-rが
プロトコルによって統計を表示する-s 
現在の接続無負荷状態表示-t 
-xディスプレイは、接続聞く、および共有エンドポイントNetworkDirectを
すべての接続のTCP接続テンプレートを表示-y、使用する他のオプションと組み合わせることができない
、との間の各表示ポーズを選択した統計情報を再表示する秒間隔の数。Ctrlキーを押しながらCは、再表示の統計情報を停止します。

Linuxは、netstatコマンドであります

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
 
usage: netstat [-vWeenNcCF] [<Af>] -r         netstat {-V|--version|-h|--help}
       netstat [-vWnNcaeol] [<Socket> ...]
       netstat { [-vWeenNac] -i | [-cnNe] -M | -s [-6tuw] }

        -r, --route              display routing table
 -i, --interfaces display interface table
 -g, --groups display multicast group memberships
 -s, --statistics display networking statistics (like SNMP)
 -M, --masquerade display masqueraded connections

 -v, --verbose be verbose
 -W, --wide don't truncate IP addresses
 -n, --numeric don't resolve names
 --numeric-hosts don't resolve host names
 --numeric-ports don't resolve port names
 --numeric-users don't resolve user names
 -N, --symbolic resolve hardware names
 -e, --extend display other/more information
 -p, --programs display PID/Program name for sockets
 -o, --timers display timers
 -c, --continuous continuous listing

 -l, --listening display listening server sockets
 -a, --all display all sockets (default: connected)
 -F, --fib display Forwarding Information Base (default)
 -C, --cache display routing cache instead of FIB
 -Z, --context display SELinux security context for sockets

 <Socket>={-t|--tcp} {-u|--udp} {-U|--udplite} {-S|--sctp} {-w|--raw}
 {-x|--unix} --ax25 --ipx --netrom
 <AF>=Use '-6|-4' or '-A <af>' or '--<af>'; default: inet
 List of possible address families (which support routing):
 inet (DARPA Internet) inet6 (IPv6) ax25 (AMPR AX.25) 
 netrom (AMPR NET/ROM) ipx (Novell IPX) ddp (Appletalk DDP) 
 x25 (CCITT X.25)

用户操作

1
2
3
4
5
 
net user chessur password /add
net localgroup administrators chessur /add
net user chessur /active:yes
net user chessur /actice:no
net user chessur /del

おすすめ

転載: www.cnblogs.com/FyJianc/p/11698984.html
おすすめ
NetBSD は AI によって生成されたコードの提出を禁止します
ランキング
C#の変数インスタンス、クレジット・カードケース
通过uniCloud白捡一个在线图库管理工具
Linuxのいくつかの基本的なコマンドに関する洞察(20ベース)
vueエントリーの基礎知識、コア知識をマスターするならこの記事で十分
食品化学クエスチョンバンク
CentOSの7制御システムは、ファイルを占めます
単一の el-form 内の el-form-item テキストの左揃えを解決する方法
ノードJSベースノート
関数にSQL Serverの文字列:
sparksql_相関分析
アーカイブ
もっと
2024-05-18(30)
2024-05-17(6)
2024-05-16(24)
2024-05-15(5)
2024-05-14(9)
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)

コードワールド

© 2018 codetd.com