Всем привет. Нужны советы, программы скрипты по аудиту инцидентов в виндус системх. Допустим,есть дамп или образ ФС\Системы. Нужны разобраться что происходило в ней, кто заходил, кто уходил, кто что ставил, удалял, менял, кто что запускал, когда и где был файл итд. В ручную я затрахаюсь искать все возможные логи, так же анализировать, нужны программы, или скрипты которые соберут для меня информацию. Вообщем делитесь кто что может подсказать.
Полной автоматизации не получишь, т.к. хотелок много, а на каждой винде свои пути и нычки, так что только в ручную. Вот годная статья, на основе которой уже можно понять - куда и как копать https://habr.com/ru/company/group-ib/blog/449100/
Last Activity view: небольшая бесплатная утилита, которая предназначена для сбора информации об активности пользователя ПК и отображения журнала событий. Программа позволяет узнать какие исполнительные файлы запускались, время данного события, сведения о времени включения и выключения компьютера, используемые сетевые подключения и устанавливаемые приложения, открываемые папки и файлы в Проводнике и многое другое. Полученную информацию можно легко экспортировать в CSV/XML/HTML файл или скопировать ее в буфер обмена. Программа не требует инсталляции. ____ https://www.nirsoft.net/utils/computer_activity_view.html
Затестировал программу https://www.nirsoft.net/utils/computer_activity_view.html Очень не информативная, нету кто открывал. А это почти одно из главных. нету изминений,что изменили,что на что, итд.
Это ж Венда Я вообще таких нормальных не видел. Можно вручную разве что сделать. Похукать CreateFile и сразу у тебя появляется возможность отслеживать (почти) все файловые операции.
сделай скрин. Перед этим создай папку на раб столе Secret, в ней создай secret.txt, дальше поменяй название файла с secret.txt на что-то друге, потом удали этот файл, и удали папку. по событиям отслеживать активность тоже не найс
100% на PS есть такое. Типа bloodhound, PowerUp, итд, надо найти. Если будут идеии пишите. Можно будет программу антифонензики заебошить
Следить нужно за всем подряд без разбора? Мы делали немного другим образом. Юзер при обычных настройках не может ничего изменить без нажатия клавиш клавиатуры или мыши. Поэтому логируем только эти действия, делаем скриншоты и кейлогером собираем ввод. Логика индивидуальна, цель сбора не знаю, если нужно файловое изменение, то это del, enter, клик мыши, esc. Если администрируете компьютер, то проще ограничить, чем следить, та же дисковая квота. Пример работы: Клик мыши, контекстное меню, создать папку (скриншоты или видеоролик) Клик, создание файла, кейлогер название Правый клик мыши, контекстное меню (скриншоты), переименовать Удалить (кнопка del, тут увидим пустое место, но где оно, тоже будет видно по скрину) Минусы данного подхода - это размер логов.
нет, вы не поняли о чём я. Я про анализ системы в которой что-то произошло. Моя задачи узнать. Кто сделал, что сделал, когда и как.
Тогда по пунктам, подходит или почему не подходит. 1) Обычный кейлогер с датой и временем 2) Файловый мониторинг папок 3) Ограничение записи во все папки кроме отслеживаемых 4) Слежение за сетевыми запросами браузера. По стандартному журналу оценить сложно, как и по снимку до и после, если нужно что делал во время.
ещё можно снифер на USB повесить, и организовать тотальную слежку. можно по событиям, но это не точно, хотел бы более наглядное что-то. Так сказать DiGiTal Forensics
Просмотрел документацию еще раз, если аудит не включен, то перемещение не знаю как отследить. Даже теневые копии и то не всегда, помогут. Нужно наверстать упущенное ). Тем более опять в данную тематику вернулся.
Вообще, ещё нужен план. 1) глянуть ГПО 2) юзеров 3) сетевая активность 4) итд..... Нигде не встречал норм мануалов. По линуксу тоже кстати, только. смотрите логи, логи лежат по умолчанию в /var/logs/ на этом всё. Может человек из GIB чего-то подскажет.....
