您现在所在位置:主页 > 高防cdn >

抗ddos_高铁防松螺母_限时优惠

更新时间:2021-07-23

抗ddos_高铁防松螺母_限时优惠

这是跟踪组策略更改系列的最后一部分。正如我多次提到的,一件使监视组策略更改变得困难的事情是,Microsoft记录受影响的组策略的GUID,而不是它的名称。例如:现在我不知道你是怎么回事,但我一般不会把鬼记在脑子里。虽然我现在知道有些事情发生了变化,但我不知道哪个团体的政策实际上受到了影响。但是,cc攻击种类及防御方法,PowerShell中有一个很好的小函数,它可以让我们通过查询GUID来找出组策略的实际含义:([adsisearcher]CN={6AC1786C-016F-11D2-945F-00C04FB984F9}).findone())。属性.displayname这将返回文本描述"默认域控制器策略"。到目前为止还不错。但我不想每次查看GPO更改日志时都手动运行它。另外(这是一个很大的"Also"),如果先前的日志是GPO删除的日志(EventID 5141),那么查找将无法工作,因为对象已经被删除。我只知道有东西被删除了,但我不可能轻易找到它的名字。那么,我们如何解决这个问题呢?我们应该创建一个SmartResponse规则,自动为我们查找GUID并以一种易于使用的格式返回它。首先,wayosddos攻击防御,让我们创建一个查找此日志类型的规则(例如,ddos防御与入侵防护区别,其中EventID为5136,object字段包含一个以CN=统计的字符串,后跟一个GUID模式)。AI引擎规则:检测GPO GUID:然后,我们可以配置新的SmartResponse"SRGetCNGUID"。这将根据guid查找组策略对象名称:这个SmartResponse接受Object字段,该字段包含"CN=[6AC1786C-016F-11D2-945F-00C04FB984F9],CN=Policies,CN=System,CN=Demo,CN=Local"并检索组策略的文本描述。当策略发生变化时触发警报:以下是SmartResponse:以及SmartResponse的GUID和description的输出:这可以作为参考信息消息使用,防ddoscdn高防ip,并且它以自动化的方式为我们提供GUID到其真实名称的映射。logrhythrome提供了一个数据屏蔽功能,可以将日志消息中的信息转换为更可用的格式(或通过屏蔽来隐藏敏感或受监管的数据)。本例中的GUID是一个典型的例子,说明信息可以转换成更有用的格式。现在我们有了GUID和描述,我们可以手动将信息放入数据屏蔽规则中,用GPO的实际名称填充包含此GUID的所有未来日志。您可以在"工具">"管理">"数据屏蔽规则管理器"中执行此操作。帮助文件中有一节介绍如何执行此操作。只需搜索"数据屏蔽"自动化程度更高或者,我们可以使用在SmartResponse插件之间传递参数的功能,使我们现在可以将GUID和描述传递给第二个SmartResponse,后者将自动更新数据屏蔽规则。让我们在Detect GPO GUID AI引擎规则上配置第二个SmartResponse:确保上面的"运行操作"设置设置为"按列出的顺序"我创建了一个数据屏蔽规则,防御ddos要多少钱,用于将Windows安全日志中的guid转换为匹配的文本描述。如您所见,此时规则已启用,但它没有配置模式。当策略发生更改时,再次触发警报:执行两个SmartResponse规则:首先,SRGetCNGUID:第二个是srcndamasking,它将获取前一个规则的输出并将其写入数据屏蔽规则:下面是更新的数据屏蔽规则:现在LogRhythm将对GPO审计设置生成的所有新日志使用数据屏蔽规则。它将自动用文本描述替换GUID:我们最初使用的"Detect-GPO-GUID"AI引擎规则是在Object字段中查找一个RegEx模式,该模式反映了GPO的CN-GUID格式。一旦它第一次找到匹配项,并且SmartResponse完成了对数据屏蔽规则的更新,此匹配将不再发生在该GUID上。此GPO将不再触发此规则。如下所示,我的初始GPO更改触发了"检测GPO GUID"规则和"Active Directory:组策略更改"规则,但下面对同一组策略所做的两个更改仅触发"Active Directory:组策略更改"规则。警报现在包含其触发时GPO的实际名称:解决方案它总是关于能见度的!SmartResponse规则使我们能够自动解释GPO GUID,并将其转换为人类可读的内容。从审计和安全角度来看,了解企业中围绕集团策略的重要活动非常重要。从操作角度来看,这也很重要。有了这些简单的规则,我们可以立即了解感兴趣的活动。当它不是关于可见性,而是关于自动化!这两个规则协同工作将使数据屏蔽规则与在环境中创建的新组策略保持最新。当删除组策略时,它们还将为您提供清晰的审核跟踪。LinkedIn Twitter Facebook Reddit电子邮件

上一篇:香港ddos防御_cc攻击防护_新用户优惠

下一篇:没有了