No último artigo, coletamos dados para monitorar a exploração de uma vulnerabilidade no Windows Server, que tem a função de controlador de domínio. Neste artigo, tentaremos entender se é possível monitorar outras classes de exploits usando as ferramentas ELK, Zabbix ou Prometheus.
Classificação de exploração do ponto de vista do monitoramento
- . .
? . №1 :
, .
ELK, Zabbix Prometheus. .
. , . , . .
699 ? , . , CWE-120. , , . . .
, . , .
? . . VMMap. , , , .. ?
, . 699 , . , , , . :
,
Mitre
. . , , .
CVE-2020-1472 Microsoft , , . . .
CVE-2020-0796. - , . 2 :
, . - , -.
. github C++. , .
:
loopback 445 . . , primary . cmd.exe. ? :
, , . "Security" . ? 2 :
IDS loopback
Endpoint
3- . Windows , . SysMon. , , . . loopback , :
...
<RuleGroup name="" groupRelation="or">
<NetworkConnect onmatch="exclude">
...
<DestinationIp condition="is">127.0.0.1</DestinationIp> <==
<DestinationIp condition="begin with">fe80:0:0:0</DestinationIp> <==
</NetworkConnect>
</RuleGroup>
...
. Windows 10 : Applications and Services Logs\Microsoft\Windows\Sysmon\Operational.
Sysmon :
sysmon.exe -accepteula -i sysmonconfig-export.xml
Sysmon:
, . Zabbix. . , .
P.S. Linux SysMon.