Tag Archives: WHORUEVENT

How to collect to windows log on graylog

1. step Download whoruevent visit to https://itka.kr/windows-server-log-collector-who-is-use-my-system/whoruevent/ and download whoruevent.zip   2. step copy and paste in windows server Decompress that zip file, Then copy and paste to windows server. 3. step configuration whoruevent Configuration syslog_ip and collect log type in eventlog section. 4. step install whoruevent for service type Install service type, If you

Read More

해킹 명령어를 이용한 침해 탐지 (Hacker command)

Hacker command? 침해사고를 조사하다보면 해커들이 자주 사용하는 명령들에 대해서 알 수 있습니다. 그럼  해킹 명령어를 이용한 침해 탐지 방법에 대해 알아보도록 하겠습니다. 아래 글을 읽어보면 해커가 자주 사용하는 명령를 이용한 명령과 Applocker를 사용해서 해당 프로그램을 사용하려고 하였을때 실행을 막고 오류를 윈도우 로그에 남기는 방법이 소개되어 있습니다.   http://blog.jpcert.or.jp/.s/2016/01/windows-commands-abused-by-attackers.html 초기 탐지 조사 공격   제 기준으로

Read More

WHORUEvent install guide (KOR)

서버 보안을 위해 진행하는 사항들중 대부분은 원격에서 실행할 수 있는 WMI, PowerShell 등을 차단하고, 서버에 연결할 수 있는 네트워크 포인트를 최소화 하는 작업을 한다. 하지만 remote desktop의 경우 서버의 작업을 위해 필수로 오픈을 할 수 밖에 없다. 여기에 서버의 개발자, 담당자등 필요 인력들만 접근할 수 있도록 보안을 강화하지만, 개발자 및 담당자의 작업 PC들도 안전하지 않다.

Read More