Windows(시스템 실행 프로세스)
다음은 MHKANG$ 계정이 실행한 부모 프로세스 svchost가 자식 프로세스 g2mupdate를 실행한 내역이 기록된 이벤트 4688. 자식 프로세스 실행 계정이 사용자인 이유는 사용자 권한으로 설치돼서?
계정 정보는 user(subject)와 user.effective(target) 필드에 나눠서 저장된다.
Windows(사용자 실행 프로세스)
다음은 administrator 계정이 실행한 부모 프로세스 msedge가 자식 프로세스 identity_helper를 실행한 내역. target 정보가 없는 이유는 subject와 같아서?
결과적으로 윈도우 기본 이벤트는 시스템/사용자 계정 상관 없이 동일한 필드 구조를 갖기 때문에 (부모 프로세스 기준으로) user.name 필드 정보를 보면 됨.
Sysmon(시스템 실행 프로세스)
sysmon은 최종 실행된 자식 프로세스의 계정 정보만 기록한다. 다음은 부모 프로세스 svchost가 자식 프로세스 g2mupdate를 실행한 내역이 기록된 이벤트 1.
계정 정보는 user(target)와 winlog.user(subject) 필드로 분리 됨.
부모 프로세스 기준으로 시스템 계정이 실행했을 때는 winlog.user.name 필드.
Sysmon(사용자 실행 프로세스)
사용자 계정이 실행했을 때는 user.name 필드를 봐야 한다. 부모? 자식? 누구를 기준으로 봐야 하나. 헷갈리네(..)
관련 글
댓글 없음:
댓글 쓰기