Oriana یک ابزار جستجوی پاسخ و بروز حادثه است که شامل زیر مجموعه ای از پرونده های رویدادهای ویندوز است تا بتواند با استفاده از یک رابط وب دوستانه و آسان برای استفاده ، از محیط امنیتی ویندوز در محیطهای ویندوز آگاهی بخشد.
به سرعت به سؤالات متداول که در یک پاسخ سناریو یا سناریوی جستجوی تهدید ایجاد می شوند پاسخ دهید.
این سؤالات شامل می شوند ، اما محدود به این موارد نیستند:
- چه خدماتی در محیط نصب شده است؟ در کدام قسمتهای انتهایی x؟ چه موقع [ آنها چه کارهایی انجام دادند؟
- چه وظایفی برنامه ریزی شده در محیط ایجاد شده است؟ در کدام نقاط انتهایی؟ چه موقع؟ آنها چه چیزی را اجرا کردند؟
- کدام ها؟ و در کدام نقاط انتهایی کاربر خاصی به صورت محلی یا از راه دور وارد شده است؟ چه زمانی و
- چه کسی و چه تعداد کاربر به صورت محلی یا از راه دور به یک رایانه خاص وارد شده اند؟ چه موقع؟
Oriana همچنین چندین محاسبه تحلیلی را اجرا می کند که می تواند کمک کند هرکسی که به حوادث پاسخ دهد می تواند رفتار مشکوک را تشخیص دهد.
این تجزیه و تحلیل می تواند کمک کند به pasnik برای تعیین:
- خدمات یا کارهایی که بر روی تعداد کمی از نقاط پایانی (آنالیز فرکانس) نصب شده است
- خدمات یا وظایفی با نام تصادفی (رتبه بندی n-گرم)
- کاربران با تعداد زیادی از رویدادهای تأیید صحت
- کاربران که به تعداد زیادی از میزبان از راه دور وارد شده است
- رویدادها / جلسات احتمالی جانبی
چگونه کار می کند؟
اوریانا از اسکریپتی PowerShell استفاده می کند که گزارش های خاص و برخی از زمینه های آنها را به پرونده CSV صادر می کند.
یک پرونده CSV برای هر نقطه پایانی که در آن اجرا می شود ، و پرونده را به سهم شبکه ای که باید از قبل تهیه شود ، می نویسد.
هر چه نکات نهایی شما بیشتر باشد ، کیفیت اطلاعاتی که اوریانا می تواند ارائه دهد ، بهتر است. [19659027] در حال حاضر Oriana از وقایع زیر استفاده می کند:
- 4624: حساب با موفقیت وارد شد
- 4625: حساب نمی تواند وارد
- ] 4776 شود: کنترل کننده دامنه سعی در تأیید اعتبار برای حساب [] 19659029] 7045: در سیستم نصب شد و خدمات
- 4698: وظیفه برنامه ریزی شده ایجاد شد
لطفا توجه داشته باشید که این رویدادها باید در سیاست حسابرسی لحاظ شوند.
برای اطلاعات بیشتر ، به بخش "خط مشی حسابرسی" مراجعه کنید.