В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Powershell Rus

539 membersпожаловаться на группу
2021 July 05

A

Aleksandr in Powershell Rus
Pwsh7 + macOS+EXO2 официально поддерживаются
источник
20:08пожаловаться#1

RH

Roman Holubenko in Powershell Rus
Добрый день!
Пишу скрипт на PS по отслеживанию событий журнала безопасности
4698

A scheduled task was created.

4699

A scheduled task was deleted.

4700

A scheduled task was enabled.

4701

A scheduled task was disabled.

4702

A scheduled task was updated.
источник
20:33пожаловаться#2

RH

Roman Holubenko in Powershell Rus
эмулирую эти события, но в журнал их не вижу...
почему?
источник
20:33пожаловаться#3

VB

Vector BCO in Powershell Rus
рефрешишь журнал?
источник
20:33пожаловаться#4

RH

Roman Holubenko in Powershell Rus
конечно
источник
20:37пожаловаться#5

RH

Roman Holubenko in Powershell Rus
$date = ((Get-Date).AddMinutes(-60))
$eventids = @(4698, 4699, 4700, 4701, 4702)
источник
20:37пожаловаться#6

RH

Roman Holubenko in Powershell Rus
$events = Get-EventLog  -InstanceId $eventids -LogName Security -After $date
источник
20:37пожаловаться#7

RH

Roman Holubenko in Powershell Rus
источник
20:38пожаловаться#8

RH

Roman Holubenko in Powershell Rus
и так тоже пусто
источник
20:39пожаловаться#9

AF

Alexey D. Filimonov ... in Powershell Rus
Сесурити нельзя эмулировать со стороны, емнип
источник
20:39пожаловаться#10

RH

Roman Holubenko in Powershell Rus
что значит нельзя емулировать
источник
20:39пожаловаться#11

RH

Roman Holubenko in Powershell Rus
?
источник
20:39пожаловаться#12

AF

Alexey D. Filimonov ... in Powershell Rus
То есть событие входа должно быть событием входа а не высером скрипта или программы
источник
20:39пожаловаться#13

RH

Roman Holubenko in Powershell Rus
я создал таску, даективировал
источник
20:39пожаловаться#14

RH

Roman Holubenko in Powershell Rus
вручную
источник
20:39пожаловаться#15

RH

Roman Holubenko in Powershell Rus
источник
20:40пожаловаться#16

RH

Roman Holubenko in Powershell Rus
я реально деактивировал, удалял, создавал таски
источник
20:40пожаловаться#17

AF

Alexey D. Filimonov ... in Powershell Rus
А аудит то настроен?
источник
20:42пожаловаться#18

AF

Alexey D. Filimonov ... in Powershell Rus
https://www.google.com/amp/s/www.csoonline.com/article/3373498/how-to-audit-windows-task-scheduler-for-cyber-attack-activity.amp.html
CSO Online
How to audit Windows Task Scheduler for cyber-attack activity
Two recently discovered Windows zero-day attacks underscore the importance of monitoring for unauthorized tasks.
источник
20:43пожаловаться#19

RH

Roman Holubenko in Powershell Rus
разве эти события по умолчанию не логируются?
источник
20:43пожаловаться#20