超级会员免费看
本文介绍了Windows服务器安全日志的重要性和排查方法,强调了安全日志在边界服务器和联网服务器排查中的作用。推荐了APT-Hunter工具,这是一款用于分析Windows EVTX日志,检测APT攻击事件的利器。通过使用APT-Hunter,可以从大量日志中高效地发现高级威胁。此外,还提到了VirusTotal的EVTX日志功能和Sigma规则在APT狩猎中的应用。
服务器虽然Linux系统使用的比较多,但Linux服务器相比于Windows服务器可以检查的点比较少,Windows服务器相对来说排查难度比较高。
服务器一般很少会主动从网络上下载资源,安装的软件多为ToDesk、AnyDesk、TiemView等远程桌面管理工具,功能比较单一。
服务器承载着非常重要的核心业务,多数安全工具不能随便使用,尤其是不太出名的小工具(如:executedprogramslist),以及会安装驱动的安全工具(如火绒剑、PChunter、其他厂商的EDR产品等),因为一旦发生不兼容问题或其他BUG问题造成的损失不可估量。
Windows安全日志在服务器排查中占有很大的比重,这里介绍下windows安全日志原理相关的知识。
windows安全日志记录原理
一般情况下,需要内网环境或VPN环境才能访问、不直接接触外网的服务器一般都比较安全,我们重点针对边界服务器、联网服务器进行排查。
边界服务器和联网服务器基本每天都在承受着大量的扫描攻击。
微步对该IP的鉴定结果一般都带有暴力破解和垃圾邮件标签。
Windows安全日志的记录开关
gpedit.msc打开组策略,“计算机配置”-“Windows设置”-“安全设置”-“本地策略
订阅专栏 解锁全文
1072
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
