Windows(시스템 실행 프로세스)
다음은 부모 프로세스 svchost가 자식 프로세스 g2mupdate를 실행한 내역. 이벤트 4688 문서를 보면 subject는 프로세스 실행 계정인데, target은 뭔지 모르겠다. 사용자 권한으로 설치된 프로세스가 최종 실행됐다는 뜻인가?
계정 정보는 user(subject)와 user.effective(target) 필드에 나눠서 저장된다.
Windows(사용자 실행 프로세스)
다음은 부모 프로세스 msedge가 자식 프로세스 identity_helper를 실행한 내역. target 정보가 없는 이유는 subject와 같아서?
결과적으로 윈도우 기본 이벤트는 부모/자식 프로세스 상관 없이 동일한 필드 구조를 갖기 때문에 user.name 필드 정보를 보면 됨. (부모 프로세스 기준인가?)
Sysmon(시스템 실행 프로세스)
다음은 부모 프로세스 svchost가 자식 프로세스 g2mupdate를 실행한 내역이 기록된 이벤트 1.
계정 정보는 user(target)와 winlog.user(subject) 필드로 분리 됨.
윈도우 기본 이벤트와 반대(..)
Sysmon(사용자 실행 프로세스)
결과적으로 윈도우 기본 이벤트는 subject, sysmon 이벤트는 target 정보를 user.name 필드에 저장한다. 나중에 나온 sysmon이 정확하겠지?
24.06.16
부모/자식 프로세스 기준으로 subject/target을 나누나 싶었는데 모르겠다. 그냥 user.name만 보자. 엘라스틱이 알아서 잘 했겠지(..)
관련 글
댓글 없음:
댓글 쓰기