Quali log e ID evento dovrei prestare attenzione quando guardo un computer basato su Windows (workstation, server, controller di dominio)?
Supponendo che io possa aggregarli in un rapporto quali informazioni dovrei includere nelle revisioni delle procedure operative standard (SOP)?
Per l'analisi dei registri OSSEC ha alcuni file con regole specifiche MS progettate per estrarre eventi di sicurezza interessanti. Per vedere le singole regole è possibile consultare questi file:
[/var/ossec/rules]# ls -l ms*
-r-xr-x--- 1 root ossec 31423 Sep 7 2010 msauth_rules.xml
-r-xr-x--- 1 root ossec 11978 Sep 7 2010 ms_dhcp_rules.xml
-r-xr-x--- 1 root ossec 1547 Sep 7 2010 ms-exchange_rules.xml
-r-xr-x--- 1 root ossec 2077 Sep 7 2010 ms_ftpd_rules.xml
-r-xr-x--- 1 root ossec 2190 Sep 7 2010 ms-se_rules.xml
Per l'ultima copia di questi file di regole puoi andare su bitbucket - > link
(sotto Source - > ossec-hids / etc / rules /)
Leggi altre domande sui tag windows logging audit attack-prevention