成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

    
    
     
           
    Uproot:使用powershell編寫基于主機的IDS
      
     
    作者:鳶尾 
     
     安全 數據安全
     
    Uproot是一款基于主機的入侵檢測系統(HIDS),其利用持續運行的Windows管理規范服務(WMI)事件訂閱,在一個網絡中檢測惡意行為。
     
    概述
    

    Uproot是一款基于主機的入侵檢測系統(HIDS),其利用持續運行的Windows管理規范服務(WMI)事件訂閱,在一個網絡中檢測惡意行為。更多有關WMI事件訂閱可以參見WMIEventing Module
    

    為達到最佳效果,建議使用Uproot的AS_GenericHTTP consumer以及Uproot Listening Post提取事件,將系統日志聚合一起,再用Splunk進行處理。
    

    注意:Uproot最好是在powershell版本>=v3環境下使用,當然你也可以在PowerShell v2下使用,只是功能方面會大打折扣。微軟從Windows NT 4.0和Windows 95時代一來一貫堅持著可恨又可愛的WMI,正因如此對于Windows NT 4.0之后的版本我們都可以使用Uproot
    

    Cmdlets
    

    簽名設置 - 預建的filters,consumers,subscriptions設置
    

    Install-UprootSignature - 在指定計算機上增加預建的簽名(設置filters和consumers).
    

    Uproot Listening Post
    

    Uproot項目包括了一個可用作Listening Post(在網絡中聚合并轉發事件)的服務執行,Listening Post接收HTTP POST請求,將接收到的數據轉換為系統日志,然后將數據轉發到特定位置(例如Splunk)
    

    在你的網絡載荷分布,或使用的防火墻限制允許的情況下你可以部署多個Listening Posts。
    

    下面為使用Cmdlets安裝/配置Uproot Listening Post的清單:
    

    Get-UprootLP - 在本地或遠程計算機列出Uproot Listening Posts.
New-UprootLP - 在本地或遠程計算機創建一個新的Uproot Listening Post.
Remove-UprootLP - 在本地或遠程計算機移除Uproot Listening Post.
Restart-UprootLP - 在本地或遠程計算機上重置Uproot Listening Post.
Start-UprootLP - 在本地或遠程計算機上開啟Uproot Listening Post.
Stop-UprootLP - 在本地或遠程計算機上停止Uproot Listening Post.
    

    注意:為了避免造成特權提升漏洞,我們建議在使用New-UprootLP命令前將uprootd.exe移動到C:\Windows\system32\
    

    簽名
    

    只要有可能,使用Extrinsic事件替換Intrinsic事件。Intrinsic事件請求輪詢,相對于Extrinsic事件需要更多的資源。
    

    過濾
    

    ActiveScriptEventConsumers
    

    AS_GenericHTTP - Generic ActiveScriptEventConsumer for All Events (this is the recommended consumer)
AS_ExtrinsicHTTP - Generic ActiveScriptEventConsumer for Extrinsic Events (Win32_ProcessStartTrace)
AS_IntrinsicHTTP - Generic ActiveScriptEventConsumer for Intrinsic Events (Win32_ProcessCreation)
    

    LogFileEventConsumers
    

    LF_ProcessCreation_CSV_PSv2
LF_ProcessCreation_txt
    

    Prebuilt Sigs
    

    Basic - An example signature file
    

    安裝模塊
    

    Jakub Jareš寫了一篇十分優秀的文章來介紹如何安裝模塊,借著這篇優秀的文章我們應用到Uproot上。
    

    打開瀏覽器,并來到Uproot github page,你需要下載并提取模塊到你的模塊目錄下。
    

    Uproot:使用powershell編寫基于主機的IDS  
    

    如果你使用IE下載這些存檔,在提取前你需要先打開存檔,否則當你導入的時候Powershell就會開始罷工了喲。如果你使用的是PowerShell 3.0或更新版本,那你可以使用Unblock-File命令來進行操作:
    

    Unblock-File -Path "$env:UserProfile\Downloads\Uproot-master.zip"
    

    使用老版本PowerShell的你,則需要手動打開文件。到下載目錄中右鍵單擊Uproot-master.zip并選擇“屬性”,在常規選項卡中單擊開啟。
    

    Uproot:使用powershell編寫基于主機的IDS
    

     
    

    打開你的模塊目錄,再創建一個名為Uproot的文件夾。使用下面的腳本你看毫無壓力的打開正確的文件夾:
    

    function Get-UserModulePath {
    $Path = $env:PSModulePath -split ";" -match $env:USERNAME
    if (-not (Test-Path -Path $Path))
    {
      New-Item -Path $Path -ItemType Container | Out-Null
    }
     $Path
}Invoke-Item (Get-UserModulePath)
    

    將文檔提取到Uproot文件夾,完成這一步之后你應該可以在文件夾下看到這些文件:
    

    Uproot:使用powershell編寫基于主機的IDS
    

    開啟一個新的PowerShell會話,然后使用以下命令導入Uproot模塊
    

    Get-Module -ListAvailable -Name UprootImport-Module UprootGet-Command -Module Uproot
    

    從現在開始你就可以使用Uproot PowerShell模塊了。
    

    栗子
    

    安裝簽名文件
    

    Install-UprootSignature -ComputerName (Get-Content .\hostlist.txt) -SigFile Basic
    

    安裝本地Listening Post
    

    Copy-Item $PSModulePath\Uproot\bin\uprootd.exe C:\windows\System32\uprootd.exe
New-UprootLP -BinaryPathName C:\windows\System32\uprootd.exe
Start-UprootLP -Server 192.168.1.100
    

    安裝遠程Listening Post
    

    Copy-Item $PSModulePath\Uproot\bin\uprootd.exe \\LPHost\C$\windows\System32\uprootd.exe
New-UprootLP -ComputerName LPHost -BinaryPathName C:\windows\System32\uprootd.exe
Start-UprootLP -ComputerName LPHost -Server 192.168.1.100
    

    移除本地Listening Post
    

    Get-UprootLPStop-UprootLPRemove-UprootLP
    

    移除遠程Listening Post
    

    Get-UprootLP -ComputerName LPHostStop-UprootLP -ComputerName LPHostRemove-UprootLP -ComputerName LPHost
    

    DriverCreation - Intrinsic事件監控系統驅動的創建/注冊
LoggedOnUserCreation - 
NetworkConnectionCreation - 
ProcessCreation - Intrinsic事件監控進程的創建
ProcessStartTrace - Extrinsic事件監控進程的創建
ScheduledJobCreation - Intrinsic事件監控"AT"的創建/注冊
ServerConnectionCreation - 
ServiceCreation - 
ShadowCopyCreation - Intrinsic事件監控卷備份的創建
ShareCreation - Intrinsic事件監控文件分享的創建
StartupCommandCreation - 
UserCreation - Intrinsic事件監控本地用戶的創建
UserProfileCreation -
     
    責任編輯:藍雨淚 
                    來源:
                    FreeBuf
     
    UprootIDS入侵檢測系統
     
     
      
    相關推薦
     
     
     
    2014-11-18 14:12:19
     
    CentOS入侵檢測系統
     
     
     
    2010-09-03 12:00:47
     
    DHCP主機
     
     
     
    2012-02-08 09:36:57
     
    虛擬化備份
     
     
     
    2009-03-10 08:05:19
     
     
     
     
    2012-02-01 10:32:07
     
    PowerShellWindows 7
     
     
     
    2012-01-16 09:18:08
     
    虛擬化桌面虛擬化PowerShell
     
     
     
    2011-08-03 09:55:30
     
    WindowsPowe組策略
     
     
     
    2012-02-17 10:03:08
     
    虛擬化服務器虛擬化備份
     
     
     
    2015-08-19 16:27:39
     
    PowerShell更新Windows Def
     
     
     
    2010-11-04 14:01:59
     
    PowerShell
     
     
     
    2014-05-19 10:34:03
     
    Windows Pow
     
     
     
    2013-10-10 13:36:03
     
    Powershell恢復
     
     
     
    2009-05-07 09:56:46
     
    PowerShellWinForm微軟
     
     
     
    2011-07-25 09:29:46
     
    存儲虛擬化
     
     
     
    2023-09-21 07:06:17
     
    PSDriveProvider
     
     
     
    2021-10-10 08:06:29
     
    磁盤PowerShell信息
     
     
     
    2011-02-14 10:21:04
     
    Windows PowWMI
     
     
     
    2017-07-06 15:02:53
     
    OpenGL ES架構GPU
     
     
     
    2023-05-23 07:06:05
     
    PythonPowerShell
     
     
     
    2010-12-24 10:53:35
     
    OSSEC HIDS開源
     
      
    點贊 
     
    收藏 
     
     
      
     
    51CTO技術棧公眾號
     
       
    
  


主站蜘蛛池模板:
夜夜骑首页
|
青青草亚洲
|
午夜精品一区二区三区在线视频
|
黄色大片在线播放
|
久久中文视频
|
欧美一级毛片免费观看
|
va精品
|
亚洲精品一二三
|
蜜桃五月天
|
国产黄色大片在线免费观看
|
极品销魂美女一区二区
|
欧美一区二区三区在线观看
|
久久黄色网
|
欧美精品一区二区三区在线
|
天堂视频一区
|
久久国产精品免费一区二区三区
|
少妇性l交大片免费一
|
亚洲精品一区在线
|
日韩和的一区二区
|
91嫩草精品|
成人在线免费观看视频
|
亚洲精品 在线播放
|
97在线播放
|
一区二区三区在线观看免费视频
|
亚洲欧美男人天堂
|
夜夜草
|
青青草综合
|
欧美成人综合
|
亚洲一区二区三区在线视频
|
久久精品国产精品青草
|
美女一级毛片
|
性一交一乱一透一a级
|
一区二区三区成人
|
欧美一区二区三区在线观看视频
|
老外黄色一级片
|
日韩精品一区二区三区在线观看
|
亚洲小视频在线播放
|
成人午夜视频在线观看
|
久久精品亚洲
|
欧美一区二区三区在线观看
|
欧美日韩在线精品
|