Normalt vil man sætte Eventforward op med policies, men her er et powershell script som vil udføre det samme som en standard "event forward" gpo.
Kan være nemt at bruge hvis man skal køre en mindre "POC" eller blot enkelte server skal køre med "eventforward" og man ikke vil til at sætte en filter på en GPO
$OpRetEventforwardKey = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\EventLog\EventForwarding\SubscriptionManager"
write-host $OpRetEventforwardKey
if (!(test-path $OpRetEventforwardKey ))
{
new-Item -Path $OpRetEventforwardKey -Force
}
Set-ItemProperty -Path $OpRetEventforwardKey -Name '1' -Value "Server=http://server.fqdn.name:5985/wsman/SubscriptionManager/WEC,Refresh=3600" -Type string -force
Set-ItemProperty -Path $OpRetEventforwardKey -Name '2' -Value "Server=http://server.fqdn.name:5985/wsman/SubscriptionManager/WEC,Refresh=3600" -Type string -force
$wevtutil = "C:\windows\system32\wevtutil.exe"
$wevtutilarg = "sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)"
$process = start-process $wevtutil -ArgumentList $wevtutilarg -PassThru -Wait
$process.ExitCode
#net localgroup "Event Log Readers" NetworkService /add
Add-LocalGroupMember -Group "Event Log Readers" -Member NetworkService
Sysinternals sysmon er en af de mest omtalte gratis sikkerhed sladrehanke man kan installere på et system.
Her er lidt om hvordan jeg har lavet en pakke som deployer sysmon.
Først Sysmon er del af sysinternals suiten, men kan hentes her som standalnone: https://technet.microsoft.com/en-us/sysinternals/sysmon
Anden del er at hente swiftonsecurty's configurations file her: https://github.com/SwiftOnSecurity/sysmon-config
Denne configfile bør man kigge igennem og ændre i efter behov.
Jeg bruger Powershell AppDeploymentToolkit til mine "pakker", men pakken indeholder få simple steps:
Check for om sysmon servicen køre
$IsSysmonInstalled = Get-Service -Name sysmon -ErrorAction SilentlyContinue
Hvis servicen er kørende skal denne afinstalleres via sysmon.exe -u
Herefter kan servicen installeres og konfigures, ved at kopier exefilen til et installations dir lokalt på maskinen og derefter starte/installer servicen via nedestående kommando
$installservicearg = "-accepteula –i "+ "sysmonconfig-export.xml" + " –h md5,sha256 –n"
Execute-Process $installservice -Arguments $installservicearg -WindowStyle "Hidden" -WorkingDirectory $installPath
det vigtigste er at sætte -workingDirectory, da sysmon.exe forventer at den angivet configfile ligge i den mappe sysmon.exe startes fra.
Hvis man vil lære mere mere om sysmon, vil jeg anbefale Paula's https://cqureacademy.com/blog/server-monitoring/sysmon og eventuelt alternativet til swiftonsecurity's configuration på https://github.com/ion-storm/sysmon-config og naturligvis Mark R slides fra https://www.rsaconference.com/writable/presentations/file_upload/hta-w05-tracking_hackers_on_your_network_with_sysinternals_sysmon.pdf
En række af de Subscriptions jeg har kørrende kan findes her , disse Subscriptions virker på en Windows 10 host.
Flere af disse Subscriptions vil kunne tunes endnu mere end de er nu, men udfordringen er altid, log formeget og man drukner, log forlidt og man har ikke nok events...
Kort beskrivelse
AdmPwd.xml
Eventlogs fra Microsoft LAPS, såfremt at en klient skulle have udfordringer med at skifte Passworded
LadminChange.xml
Ændringer i Lokal administator gruppen på en klient
Lcreateddetelted.xml
Creation og sletning af lokale bruger på en klient
Powershell.xml
Powershell logging
ServiceCreation.xml
Installation af serivce, vil spotte Psexec, PDQDeploy, Windows Defender meget hurtigt m.flere
WindowsDefender.xml
Windows Defender eventloggen
clearsecLog.xml
Clear security loggen.
emet.xml
Microsoft Emet Events
NB. Sikkerhed folk vil sikker mene at Sysmon mangler ;-) hvilket også er sandt :-)
Et par kommandoer til at styre Windows EventFoward Subscriptions
List Opsatte Subscriptions
wecutil es
Export Subscription
Hvor "AdmPwd" er navnet på subecription listed via wecutil es
wecutil gs "AdmPwd" /f:xml >>"C:\Temp\AdmPwd.xml"
Import at exported Subscription.
Hvor c:\temp\AdmPwd.xml er den subecription man ønsker at importere
wecutil cs "c:\temp\AdmPwd.xml"
Bulk export
for /f "delims=" %s in ('wecutil es') do wecutil gs "%s" /f:xml >"C:\Temp\%s.xml"
Bulk Import
for %s in (C:\WEFsubscriptions\*.xml) do wecutil cs "%s"