在splunk中查询当前主机的sysmon日志:
sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"
?...在splunk中搜索Sysmon事件,识别出可疑的SMB会话(445端口):
sourcetype=”XmlWinEventLog:Microsoft-Windows-Sysmon/Operational...”192.168.1.90 445 | table _time, EventCode, EventDescription, host, SourceIp,src_port, User, DestinationIp...在Splunk中,我们可以通过下面的Sysmon事件来辨识出 恶意的行为,我们可以攻击者使用WinRM
远程连接了被攻击机器的5896端口:
sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon.../Operational"5985 OR 5986 | table _time, EventCode, EventDescription, host, SourceIp,src_port, User,