Windows-Protokollierung & Sysmon

Empfehlungen zur Windows-Protokollierung

Um bösartige Aktivitäten auf Windows-Rechnern ordnungsgemäß zu erkennen, müssen Sie die Standardeinstellungen für die Protokollierung verbessern. Wir haben ein separates Projekt erstellt, um zu dokumentieren, welche Protokolleinstellungen aktiviert werden müssen, sowie Skripte zur automatischen Aktivierung der richtigen Einstellungen unter https://github.com/Yamato-Security/EnableWindowsLogSettings.

Wir empfehlen außerdem die folgenden Seiten als Orientierungshilfe:

• JSCU-NL (Joint Sigint Cyber Unit Netherlands) Logging Essentials
• ACSC (Australian Cyber Security Centre) Logging and Fowarding Guide
• Malware Archaeology Cheat Sheets

Sysmon-bezogene Projekte

Um die meisten forensischen Beweise zu erzeugen und mit höchster Genauigkeit zu erkennen, müssen Sie Sysmon installieren. Wir empfehlen die folgenden Seiten und Konfigurationsdateien:

• TrustedSec Sysmon Community Guide
• Sysmon Modular
• SwiftOnSecurity Sysmon Config
• SwiftOnSecurity Sysmon Config fork by Neo23x0
• SwiftOnSecurity Sysmon Config fork by ion-storm