Splunk - Threat Hunting for PowerShell Execution
Splunk - Threat Hunting for PowerShell Execution
SPL Queries used Here :
Windows login event via Powershell as a channel
sourcetype="threathunting*" Channel IN ("Microsoft-Windows-PowerShell/Operational") EventID=4103
| table Channel _time Hostname
| sort -_time
Non-Interactive mode, Powershell spawned from some other process
sourcetype="threathunting**" EventID=4688 NewProcessName="*powershell.exe*" ParentProcessName!="*explorer.exe*"
| stats count by EventID NewProcessName ParentProcessName SubjectUserName SubjectDomainName _time
Event ID = 7, modules/image loaded in the process (process concerned here is Powershell)
sourcetype="threathunting**" Channel="Microsoft-Windows-Sysmon/Operational" EventID=7
| stats count by _time Hostname Image ImageLoaded
EventID = 17 Pipe Creation
sourcetype="threathunting*" Channel="Microsoft-Windows-Sysmon/Operational" EventID=17
| stats count by _time Hostname Image PipeName ProcessId
EventID=53504 "PowerShell Named Pipe IPC”
sourcetype="threathunting*" EventID=53504
| stats count by EventID AccountName Hostname Message
Смотрите видео Splunk - Threat Hunting for PowerShell Execution онлайн без регистрации, длительностью часов минут секунд в хорошем качестве. Это видео добавил пользователь cybersecnerd 18 Июнь 2022, не забудьте поделиться им ссылкой с друзьями и знакомыми, на нашем сайте его посмотрели 897 раз и оно понравилось 20 людям.