#Technet #Blog Post: 設定 OMS 警示來偵測可疑的可執行文

Posted: 2017/07/19 in Uncategorized

#Technet #Blog Post: 設定 OMS 警示來偵測可疑的可執行文件 – 概要:學習如何跟著步驟設定警示來偵測可疑的可執行文件。 可疑的可執行文件警示 Security Event 8002 在處理執行時就會回報。此事件回報了許多有用的資訊像是 path、process name、file hash、甚至是 FQBN。 Note: FQBN 是 Fully Qualified Binary Name 的縮寫,它是一個字串包含了:publisherproductfile nameversion。 一個簡單回報 Security Event 8002 的搜尋指令如下: Type=SecurityEvent EventID=8002   接著要加入FQBN。OMS 記錄搜尋對指令是很敏感的,因此在輸入指令時有兩點需要注意。首先,必須輸入正確的大小寫: Fqbn,若輸成 FQBN 將會跳出錯誤,如下圖:   再者,* 這個符號被視為是文字字符,而非通用的字符,因此若執行下圖的輸入,雖然不會造成錯誤產生,但也無法成功搜尋到資料: … http://ow.ly/9yZN50cTMkF

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s