Руководство по пересылке событий
Этот репозиторий проводит контент для помощи администраторам в сборе журналов событий Windows с использованием перенаправления событий Windows (WEF). Этот репозиторий является компаньоном для обнаружения противника с помощью бумаги мониторинга журнала событий Windows. Список событий в этом репозитории более обновлен, чем в статье.
Репозиторий содержит:
- Рекомендуемые события Windows для сбора. Независимо от использования WEF или третьей стороны SIEM, список рекомендуемых событий должен быть полезен в качестве отправной точки для того, что собирать. Список событий в этом репозитории более обновлен, чем в статье.
- Сценарии для создания пользовательских видов журнала событий и создания подписок WEF.
- Подписки WEF в формате XML.
Ссылки
- Ресурсы пересылки Microsoft Windows
- Используйте переадресацию событий Windows, чтобы помочь с обнаружением вторжения
- Windows 10 и Windows Server 2016.
- Защита от угроз Microsoft: настройки политики обеспечения аудита безопасности
- Защита угроз Microsoft: аудит безопасности
- Список важных событий от Microsoft
- Microsoft Sysinternals Sysmon
- ACSC GitHub Windows
- ACSC Windows Turging Technicing Technical Renadances
- Создание пользовательских журналов пересылки событий Windows
- Представление проекта Саурона
- Project Sauron Github Repository
- Переадресация событий Windows для защиты сети
- Событие Palantir Windows
Лицензия
Смотрите лицензию.
Отказ от ответственности
Смотрите отказ от ответственности.
