¿Qué informes de seguridad útiles se pueden extraer de una máquina basada en Windows y sus registros relacionados?

3

¿A qué registros e identificadores de eventos debo prestar atención cuando observo una máquina basada en Windows (estación de trabajo, servidor, controlador de dominio)?

Suponiendo que pueda agregarlos a un informe, ¿qué información debo incluir en las revisiones de los Procedimientos Operativos Estándar (SOP)?

    
pregunta random65537 30.09.2011 - 21:39
fuente

1 respuesta

2

Para el análisis de registros, OSSEC tiene algunos archivos con reglas específicas de MS diseñadas para extraer eventos de seguridad interesantes. Para ver las reglas individuales uno puede leer estos archivos:

  

[/ var / ossec / rules] # ls -l ms *
  -r-xr-x --- 1 raíz ossec 31423 sep 7 2010 msauth_rules.xml
  -r-xr-x --- 1 raíz ossec 11978 7 de septiembre de 2010 ms_dhcp_rules.xml
  -r-xr-x --- 1 raíz ossec 1547 sep 7 2010 ms-exchange_rules.xml
  -r-xr-x --- 1 raíz ossec 2077 sep 7 2010 ms_ftpd_rules.xml
  -r-xr-x --- 1 root ossec 2190 sep 7 2010 ms-se_rules.xml

Para obtener la última copia de estos archivos de reglas, puede dirigirse a bitbucket - > enlace

(bajo Fuente - > ossec-hids / etc / rules /)

    
respondido por el Tate Hansen 01.10.2011 - 08:22
fuente

Lea otras preguntas en las etiquetas