윈도우 주요 이벤트 몇몇은 작업 주관자를 의미하는 subject와 작업 대상인 target 정보를 제공한다. 다음은 윈도우 기본 이벤트 4688. target 정보 누락 발생. (subject와 target이 같다는 의미인 것 같기는 한데)
다음은 sysmon 이벤트 1. 정보 누락이 발생하지 않는다. 4688 답답해서 개선한 모양.
부모(services.exe), 자식(svchost.exe) 모두 사용자 의도와 관계없이 실행되는, 윈도우 자체인 시스템 프로세스인데 왜 administrator가 등장하는지는 모르겠다. 내가 멍청한 게 아니라 윈도우가 복잡한거다
사용자 모드 테스트
일반 사용자 권한으로 메모장을 실행해봤다. 다음은 이벤트 4688. 관리자로 실행했을 땐 subject, 일반 사용자는 target을 봐야 한다.
이벤트 1은 target만 보면 됨. sysmon 괜히 따로 만든 게 아니구나(..)
이벤트 수집량은 엘라스틱이 살짝 더 많다. checkpointInterval을 더 줄여야 하나? 계정 정보 관점에서 필요한 정보 알아서 판단하라는 스플렁크와 나름 맥락에 맞는 user.name 정보를 보여주는 친절한 엘라스틱.
댓글 없음:
댓글 쓰기