Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
|
racfor_wiki:seminari2024:analiza_sysmon_logova [2025/01/18 19:25] Sokol Nina [Analiza Sysmon logova pomoću SIEM sustava] |
racfor_wiki:seminari2024:analiza_sysmon_logova [2025/01/18 19:25] (trenutno) Sokol Nina [Analiza Sysmon logova pomoću PowerShella] |
||
|---|---|---|---|
| Redak 222: | Redak 222: | ||
| </ | </ | ||
| - | ==== Analiza Sysmon logova pomoću Event Viewera ==== | + | ==== Analiza Sysmon logova |
| Windows Event Viewer dolazi s Windows operacijskim sustavom te ga nije potrebno dodatno podešavati i konfigurirati kako bi skupljao i nudio mogućnost analize logova. Nakon instalacije Sysmona, logovi će se bilježiti unutar Event Viewera te ih je moguće tamo analizirati. Analiza se najčešće radi filtriranjem logova prema zadanom event ID-ju ili pretragom po ključnim riječima. | Windows Event Viewer dolazi s Windows operacijskim sustavom te ga nije potrebno dodatno podešavati i konfigurirati kako bi skupljao i nudio mogućnost analize logova. Nakon instalacije Sysmona, logovi će se bilježiti unutar Event Viewera te ih je moguće tamo analizirati. Analiza se najčešće radi filtriranjem logova prema zadanom event ID-ju ili pretragom po ključnim riječima. | ||
| Redak 235: | Redak 235: | ||
| Slika 4. Prozor za filtriranje logova u Event Vieweru [[racfor_wiki: | Slika 4. Prozor za filtriranje logova u Event Vieweru [[racfor_wiki: | ||
| - | ==== Analiza Sysmon logova pomoću PowerShella ==== | + | ==== Analiza Sysmon logova |
| Analiza Sysmon logova s pomoću PowerShella nudi nam mogućnost da automatiziramo analizu Sysmon logova. Ovo predstavlja prednost pred Event Viewerom jer možemo napisati kratke PowerShell skripte koje će nam izdvojiti zanimljive logove koje želimo detaljnije istražiti. Izdvojene logove je onda moguće parsirati upotrebom jednostavnih skripti kako bi izdvojili vrijednosti svakog polja unutar nekog loga. Na kraju je moguće puno jednostavnije pretraživati ključne riječi koje će nas dovesti do logova koji su zabilježili zlonamjerne aktivnosti. | Analiza Sysmon logova s pomoću PowerShella nudi nam mogućnost da automatiziramo analizu Sysmon logova. Ovo predstavlja prednost pred Event Viewerom jer možemo napisati kratke PowerShell skripte koje će nam izdvojiti zanimljive logove koje želimo detaljnije istražiti. Izdvojene logove je onda moguće parsirati upotrebom jednostavnih skripti kako bi izdvojili vrijednosti svakog polja unutar nekog loga. Na kraju je moguće puno jednostavnije pretraživati ključne riječi koje će nas dovesti do logova koji su zabilježili zlonamjerne aktivnosti. | ||