Viselkedéselemzéssel a PowerShell script-ek ellen?

Típus: Hírek
Publikálva: 27/12/2018
Több lépés is szükséges a Powershell fenyegetettségek kiszűrésére:
- Powershell activity logging engedélyezése
- A Splunk UBA által beépítetten használható elemzések:
     - Unusually high number of tick marks (`) in a command - ha túl sok "`" jel található egy command-ban, az egyfajta rejtőzködést jelenthet
     - Raises an alert on 4104 event ID with the type warning - a Microsoft frissítéseknek köszönhetően a gyanús parancsok külön log bejegyzést generálnak
     - Past PowerShell activity - ha adott felhasználó először használ PowerShell parancsot, az gyanúra adhat okot
     - Entropy - ha a PowerShell parancs túlzottan "összevissza" az jelentheti azt is, hogy rejtőzködni próbál a káros kód (akár titkosítással)
     - Bigram Analysis - a már sméert és megbízhetó PowerShell kódokat képes összehasonlítani az éppen futtatott paranccsal, így elemezve azt


A teljes cikk elérhető az alábbi linken:
https://www.splunk.com/content/splunk-blogs/en/2018/12/19/using-splunk-user-behavior-analytics-uba-to-detect-malicious-powershell-activity.html

Kapcsolat

+36 1 371 2 370
splunk.ecs.hu@arrow.com

 CL Social Media Icon - Facebook 40px CL Social Media Icon - Twitter 40px YouTube_40