প্রশ্ন নিরাপত্তা ইভেন্ট লগের জন্য একটি XML ক্যোয়ারী ফিল্টার থেকে অপ্রত্যাশিত ফলাফল


ভাবেন,

আমি সুরক্ষা লগ এর দৃশ্য থেকে অসংখ্য "সিস্টেম" লগনগুলি বাদ দেওয়ার জন্য উইন্ডোজ ইভেন্ট লগ ভিউয়ারে একটি কাস্টম এক্সএমএল / এক্সপাথ ফিল্টার খোলার চেষ্টা করছি। আমি এই সাহায্যে সাহায্য পেতে পর্যন্ত পরিচালিত হয়েছে এক্সএমএল ফিল্টারিং উপর প্রযুক্তি ব্লগ:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[System[(EventID=4624)]] 
      and
      *[EventData[Data[@Name='TargetUserSid'] and  (Data!='S-1-5-18')]]
</Select>
  </Query>
</QueryList>

কিন্তু সব প্রত্যাশার বিরুদ্ধে আমি এখনও এই মত ঘটনা (অন্যদের মধ্যে, অবশ্যই) দেখুন:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>4624</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2013-07-18T15:12:55.797049800Z" />
    <EventRecordID>199135861</EventRecordID>
    <Correlation />
    <Execution ProcessID="496" ThreadID="3028" />
    <Channel>Security</Channel>
    <Computer>SBS.domain.local</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-0-0</Data>
    <Data Name="SubjectUserName">-</Data>
    <Data Name="SubjectDomainName">-</Data>
    <Data Name="SubjectLogonId">0x0</Data>
    <Data Name="TargetUserSid">S-1-5-18</Data>
    <Data Name="TargetUserName">SBS$</Data>
    <Data Name="TargetDomainName">DOMAIN</Data>
    <Data Name="TargetLogonId">0x684af79a</Data>
    <Data Name="LogonType">3</Data>
    <Data Name="LogonProcessName">Kerberos</Data>
    <Data Name="AuthenticationPackageName">Kerberos</Data>
    <Data Name="WorkstationName">
    </Data>
    <Data Name="LogonGuid">{9D5E970C-928D-E3FD-8D96-09044670F33E}</Data>
    <Data Name="TransmittedServices">-</Data>
    <Data Name="LmPackageName">-</Data>
    <Data Name="KeyLength">0</Data>
    <Data Name="ProcessId">0x0</Data>
    <Data Name="ProcessName">-</Data>
    <Data Name="IpAddress">fe80::cc18:cb50:1710:c2a7</Data>
    <Data Name="IpPort">6413</Data>
  </EventData>
</Event>

S-1-5-18 এর TargetUserSid বৈশিষ্ট্যের সাথে একটি ইভেন্ট দৃশ্যের মধ্যে কেন অন্তর্ভুক্ত করা উচিত তা বুঝতে অসুবিধা হয়েছে। এটি অন্য দিকেও কাজ করে - যদি আমি ফিল্টারটিকে সংজ্ঞায়িত করতে পারি *[EventData[Data[@Name='TargetUserSid'] and (Data='S-1-5-18')]], আমি একটি ভিন্ন TargetUserSid "মাধ্যমে slipping" সঙ্গে ঘটনা দেখতে।

একটি ডোমেন অবজেক্ট থেকে একটি ভিন্ন (দীর্ঘ) SID চূড়ান্ত করার প্রত্যাশা হিসাবে কাজ করে বলে মনে হচ্ছে এবং শুধুমাত্র সেই অনুযায়ী সেটআপ ব্যবহারকারীর সেটগুলির ইভেন্টগুলির সাথে আমাকে একটি দৃশ্য দেয়।

আমি TargetUserName এর মতো অন্যান্য বৈশিষ্ট্যগুলিতে ফিল্টার করার চেষ্টা করেছি, কিন্তু একই সমস্যাগুলির মুখোমুখি হতে।

আমার প্রশ্নের বা কিভাবে অনুরূপ ক্ষেত্রে কাজ উদাহরণ ঠিক করতে কোন ইঙ্গিত ব্যাপকভাবে প্রশংসা।


7
2017-07-18 15:40


উত্স




উত্তর:


এটা চেষ্টা কর:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4608)]]</Select>
    <Suppress Path="Security">*[EventData[Data[@Name="TargetUserSid"] = "S-1-5-18"]]</Suppress>
  </Query>
</QueryList>

4
2017-07-19 12:18





আমি উইন্ডোজ 10 ডেস্কটপ অপারেটিং সিস্টেমে একই পর্যবেক্ষণ করেছি। নিচের মত একটি নির্দিষ্ট প্রশ্ন, নির্দিষ্ট ইভেন্ট দেওয়ার পরিবর্তে, সমস্ত প্রক্রিয়া সৃষ্টি ইভেন্টগুলিতে ফলাফল। যাইহোক, একই প্রশ্ন সার্ভার 2012 OS তে ভাল কাজ করে।

 <QueryList>
 <Query Id="0" Path="Security">
   <Select Path="Security">
        *[EventData[Data[@Name='NewProcessName'] and (Data='C:\Windows\System32\process0.exe'  or Data='C:\Windows\System32\process1.exe' or Data='C:\Windows\process2.exe')]]
        and 
        *[System[(EventID=4688)]]
    </Select>
 </Query>
</QueryList>

আমার কার্যকারিতা অনুসন্ধান বৈশিষ্ট্য মান পৃথক করা, এই মত কিছু:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
        (*[EventData[Data[@Name='NewProcessName'] ='C:\Windows\System32\process0.exe']] 
         or
         *[EventData[Data[@Name='NewProcessName'] ='C:\Windows\process1.exe']]
         or
         *[EventData[Data[@Name='NewProcessName'] = 'C:\Windows\process2.exe']])
        and 
        *[System[(EventID=4688)]]
    </Select>
  </Query>
</QueryList>

0
2018-05-13 12:03