Normalt vil man sætte Eventforward op med policies, men her er et powershell script som vil udføre det samme som en standard "event forward" gpo.

Kan være nemt at bruge hvis man skal køre en mindre "POC" eller blot enkelte server skal køre med "eventforward" og man ikke vil til at sætte en filter på en GPO

 



$OpRetEventforwardKey = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\EventLog\EventForwarding\SubscriptionManager"

write-host $OpRetEventforwardKey 

if (!(test-path $OpRetEventforwardKey   ))

{

  new-Item -Path $OpRetEventforwardKey  -Force

}

Set-ItemProperty -Path $OpRetEventforwardKey -Name '1' -Value "Server=http://server.fqdn.name:5985/wsman/SubscriptionManager/WEC,Refresh=3600" -Type string -force

Set-ItemProperty -Path $OpRetEventforwardKey -Name '2' -Value "Server=http://server.fqdn.name:5985/wsman/SubscriptionManager/WEC,Refresh=3600" -Type string -force

 

$wevtutil = "C:\windows\system32\wevtutil.exe"

$wevtutilarg =  "sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)"

$process = start-process $wevtutil -ArgumentList $wevtutilarg -PassThru -Wait

$process.ExitCode

 

#net localgroup "Event Log Readers" NetworkService /add

Add-LocalGroupMember -Group "Event Log Readers" -Member NetworkService

 

Sysinternals sysmon er en af de mest omtalte gratis sikkerhed sladrehanke man kan installere på et system.

Her er lidt om hvordan jeg har lavet en pakke som deployer sysmon.

Først Sysmon er del af sysinternals suiten, men kan hentes her som standalnone: https://technet.microsoft.com/en-us/sysinternals/sysmon

Anden del er at hente swiftonsecurty's configurations file her: https://github.com/SwiftOnSecurity/sysmon-config

Denne configfile bør man kigge igennem og ændre i efter behov.

Jeg bruger Powershell AppDeploymentToolkit til mine "pakker", men pakken indeholder få simple steps:

Check for om sysmon servicen køre

 $IsSysmonInstalled = Get-Service -Name sysmon -ErrorAction SilentlyContinue

Hvis servicen er kørende skal denne afinstalleres via sysmon.exe -u

Herefter kan servicen installeres og konfigures, ved at kopier exefilen til et installations dir lokalt på maskinen og derefter starte/installer servicen via nedestående kommando

$installservicearg =  "-accepteula –i "+  "sysmonconfig-export.xml" +  " –h md5,sha256 –n"

Execute-Process $installservice -Arguments $installservicearg -WindowStyle "Hidden"  -WorkingDirectory $installPath

det vigtigste er at sætte -workingDirectory, da sysmon.exe forventer at den angivet configfile ligge i den mappe sysmon.exe startes fra.

Hvis man vil lære mere mere om sysmon, vil jeg anbefale Paula's https://cqureacademy.com/blog/server-monitoring/sysmon og eventuelt  alternativet til swiftonsecurity's configuration på https://github.com/ion-storm/sysmon-config og naturligvis Mark R slides fra https://www.rsaconference.com/writable/presentations/file_upload/hta-w05-tracking_hackers_on_your_network_with_sysinternals_sysmon.pdf

 

En række af de Subscriptions jeg har kørrende kan findes her , disse Subscriptions virker på en Windows 10 host.

Flere af disse Subscriptions vil kunne tunes endnu mere end de er nu, men udfordringen er altid, log formeget og man drukner, log forlidt og man har ikke nok events...

Kort beskrivelse

AdmPwd.xml

Eventlogs fra Microsoft LAPS, såfremt at en klient skulle have udfordringer med at skifte Passworded

LadminChange.xml

Ændringer i Lokal administator gruppen på en klient

Lcreateddetelted.xml

Creation og sletning af lokale bruger på en klient

Powershell.xml

Powershell logging

ServiceCreation.xml

Installation af serivce, vil spotte Psexec, PDQDeploy, Windows Defender meget hurtigt m.flere

WindowsDefender.xml

Windows Defender eventloggen

clearsecLog.xml

Clear security loggen.

emet.xml 

Microsoft Emet Events

NB. Sikkerhed folk vil sikker mene at Sysmon mangler ;-) hvilket også er sandt :-)

Et par kommandoer til at styre Windows EventFoward Subscriptions

 

List Opsatte Subscriptions

 wecutil es

 

Export Subscription

Hvor "AdmPwd" er navnet på subecription listed via wecutil es

wecutil gs "AdmPwd" /f:xml >>"C:\Temp\AdmPwd.xml"

 

Import at exported Subscription.

Hvor c:\temp\AdmPwd.xml er den subecription man ønsker at importere

wecutil cs "c:\temp\AdmPwd.xml"

 

Bulk export

 

for /f "delims=" %s in ('wecutil es') do wecutil gs "%s" /f:xml >"C:\Temp\%s.xml"

 

Bulk Import

 

for %s in (C:\WEFsubscriptions\*.xml) do  wecutil cs "%s"