首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

蓝队技术 | 使用Sysmon日志识别和分析Windows恶意活动

Sysmon 背景 Sysmon日志是由Microsoft系统监视器(Sysmon)生成的事件日志,它们提供有关Windows上的系统级操作的详细信息,并记录进程启动、网络连接、文件和注册表修改、驱动程序和服务活动以及...WMI操作等活动,通过分析Sysmon日志,安全专家可以检测潜在风险、发现异常并响应安全事件,以增强整体系统监控和安全性。...由于分析过程中会遇到大量的JSON数据,因此本文选择使用jq工具,该工具可以使用choco包管理器安装,安装命令如下: choco install jq 数据 概览 下载的zip压缩文件中只有一个文件...数据格式 生成的JSON数据是一系列日志记录,JSON中的每一行代表一条日志记录: PS > cat .\20240408132435_EvtxECmd_Output.json | select -first...恶意软件活动 文件创建 现在,我们从恶意进程(PID 10672)入手,通过日志分析,我们可以看到恶意软件在目标设备上创建了六个文件: PS > cat .\20240408132435_EvtxECmd_Output.json

61510

4-网站日志分析案例-日志数据统计分析

文章目录 4-网站日志分析案例-日志数据统计分析 一、环境准备与数据导入 1.开启hadoop 2.导入数据 二、借助Hive进行统计 1.1 准备工作:建立分区表 1.2 使用HQL统计关键指标 总结...4-网站日志分析案例-日志数据统计分析 一、环境准备与数据导入 1.开启hadoop 如果在lsn等虚拟环境中开启需要先执行格式化 hadoop namenode -format 启动Hadoop start-dfs.sh...start-yarn.sh 查看是否启动 jps 2.导入数据数据上传到hadoop集群所在节点 创建hdfs目录 hadoop fs -mkdir -p /sx/cleandlog 将数据上传到...30 ; 使用Sqoop导入到MySQL以及可视化展示部分不再介绍,详细可参考 https://www.cnblogs.com/edisonchou/p/4464349.html 总结 本文为网站日志分析案例的第...4部分,基于MR清洗后的数据导入HIVE中,然后进行统计分析

60630
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    活动效果的数据分析,这样做才对!

    “如果让你来评估这次活动,你会怎么分析”无论是面试还是工作,做数据分写的同学都经常遇到这个问题。今天我们系统讲解一下。...比如: 活动期间有4万新人注册 活动期间注册人数比活动前多1万 活动期间新用户点击率是80% 活动期间新用户使用权益率30% 这些统统不是结论,只是分析过程而已。...你分析了啥?结论呢!”最后被搞得灰头土脸。 2 活动评估关键问题 活动评估,首先要得出好/坏评价。...4、浑水摸鱼:这是改变用户心智资源,数据岂能衡量! 总之,十个运营里最多只有俩,能准确说清楚现状和目标。这时候就需要数据分析师自己有独立判断能力。能分析业务逻辑、梳理业务过程,才能得出客观结论。...在分析这些指标的时候,要注意先后顺序。比如有关新用户注册问题。要先看各个用户来源渠道的投放力度,活动是否及时上架,何时与投放结合。之后才是深入分析文案、活动礼品、领取后行为等等。

    2.2K32

    Windows系统日志分析_python日志采集分析

    四、Windows日志实例分析   在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。   1....五、WEB日志文件分析   以下列日志记录为例,进行分析:   #Software: Microsoft Internet Information Services 6.0   #Version: 1.0...,但返回信息为空   205——服务器完成了请求,用户代理必须复位当前已经浏览过的文件   206——服务器已经完成了部分用户的GET请求   300——请求的资源可在多处得到   301——删除请求数据...  302——在其他地址发现了请求数据   303——建议客户访问其他URL或访问方式   304——客户端已经执行了GET,但文件未变化   305——请求的资源必须从服务器指定的地址得到   306...有时是为了防止发生系统过载   503——服务器过载或暂停维修   504——关口过载,服务器使用另一个关口或服务来响应用户,等待时间设定值较长   505——服务器不支持或拒绝支请求头中指定的HTTP版本   FTP日志分析

    1.4K10

    日志易:金融支付行业日志数据分析案例解读

    日志作为数据的载体,蕴含着丰富的信息,传统的日志分析方式低效而固化,无法应对数据体量大、格式不统一、增长速度快的现状,在交易出现异常及失败时,更难以满足实时处理、快速响应的需求。...本文讲述某支付公司采用日志易后,通过日志数据实现业务深度分析及风险控制的实践经验。...为了更好发挥移动支付的便捷,支付公司对时效性,可靠性的要求很高,而这才是使用日志易大数据分析平台的深层次原因,日志易帮支付公司解决了最根本的行业需求,在可靠性方面展现了产品的价值。...该公司原有的解决方案存在一定的局限性,比如:手动工作耗时量大、实时性差、人为造成失误、分析维度不能灵活变动及决策滞后等等。 支付公司有时会根据业务需要,对数据进行收集、清理,包括日志数据的清理等。...日志易作为国内首家海量日志分析企业,一直致力于开发一款配置方便、功能强大的日志管理工具,以高品质的产品为金融行业用户信息化建设搭建高可靠平台,共同面对数字浪潮中更多的未知与挑战,实现支付企业对日志分析管理产品高效

    2.8K20

    数据平台网站日志分析系统

    1:大数据平台网站日志分析系统,项目技术架构图: 2:大数据平台网站日志分析系统,流程图解析,整体流程如下:   ETL即hive查询的sql;   但是,由于本案例的前提是处理海量数据,因而,流程中各环节所使用的技术则跟传统...BI完全不同:     1) 数据采集:定制开发采集程序,或使用开源框架FLUME     2) 数据预处理:定制开发mapreduce程序运行于hadoop集群     3) 数据仓库技术:基于hadoop...之上的Hive     4) 数据导出:基于hadoop的sqoop数据导入导出工具     5) 数据可视化:定制开发web程序或使用kettle等产品     6) 整个过程的流程调度:hadoop...生态圈中的oozie工具或其他类似开源产品 3:在一个完整的大数据处理系统中,除了hdfs+mapreduce+hive组成分析系统的核心之外,还需要数据采集、结果数据导出、任务调度等不可或缺的辅助系统...,而这些辅助工具在hadoop生态体系中都有便捷的开源框架,如图所示:  4:采集网站的点击流数据分析项目流程图分析: 5:流式计算一般架构图: 待续......

    2.6K72

    建造适于业务分析日志数据系统

    初步想来,好像原因有两个:第一个原因是,我们的数据往往看起来不够“大”,导致我们似乎分析不出什么来。...对于业务中产生的数据,一般我们期望有几种用途:一是通过统计,用来做成分析报告,帮助人去思考解决业务问题;二是对一些筛选和统计后的数据,针对其变动进行自动监测,及时发现突发状况和问题;三是使用某些统计模型或者推算方法...所幸的是,现在“大数据”体系的实现手段,基本都已经开源化,我们完全可以利用这些知识和概念,去先构造我们最基础的数据系统,满足最基本的分析需求。 ?...为了解决日志数据量大的问题,人们不再把原始日志插入数据表,而是以文件形式存放。...为了解决统计数据结构过于复杂的问题,人们不再修改日志的字段结构,而是根据具体不同的统计需求,建立不同的“报表”数据表,由经过归并的日志数据表来进行统计,结果记录于报表数据表中。

    1.7K60

    Roaming Mantis恶意活动分析报告

    卡巴斯基持续关注分析Roaming Mantis相关网络活动。该组织的攻击方法有所改进,不断在新的攻击目标上窃取资金。攻击者利用白名单和运行环境检测等技术避免被分析溯源。...再次说明犯罪分子在活动中总是利用热点话题。 白名单功能 Roaming Mantis在Wroba.g登陆页面(目前仅在朝鲜语页面)中采用了白名单功能,可逃避安全研究人员。...2019年,APK文件中使用Multidex隐藏恶意加载模块,分析表明它正在被一点一点地修改: ? 用红色正方形标记的类${num}.dex是恶意加载程序模块,所有其他的DEX文件都是垃圾代码。...目标分析 Wroba.g的目标是日本的运营商和在线银行,攻击者将受害者重定向到钓鱼网站,以窃取凭据: ?...根据检测数据,发现Wroba.j中垃圾短信功能: ? 恶意软件从短信反馈结果自动创建电话号码列表,该恶意软件还可以检查国际移动用户识别码(IMSI),以识别移动运营商,并将电话号码添加到相关列表中。

    95210

    Rocke黑客组织活动分析

    通过分析2018年12月至2019年6月16日的NetFlow数据,我们发现调查目标中28.1%的云环境与Rocke控制(C2)域有过网络通信数据。其中一些还保持着日常联系。...Rocke组织概况 Rocke活动最初于2018年8月报道。Rocke最初专注于Linux的Xbash工具,该工具是一款数据破坏恶意软件。...当Rocke攻击一个组织时,它要求受害者支付0.2,0.15或0.02比特币(BTC)来恢复丢失的数据。但由于Xbash在勒索赎金之前删除了数据库表,因此Rocke无法恢复任何数据。...NetFlow中的发现 通过在云端捕获NetFlow通信研究人员发现,28.1%的被调查云环境至少与已知的Rocke C2域进行了一次活动通信会话。...此模式为第三阶段恶意软件活动功能特点,表示信标或心跳样式的活动。 ? 解决方案 要在云环境中解决Rocke入侵问题,建议执行以下操作: 1、使用最新的修补程序和版本更新更新所有云系统模板。

    1.4K10

    分析Oracle数据日志文件(1)

    分析Oracle数据日志文件(1) 一、如何分析即LogMiner解释 从目前来看,分析Oracle日志的唯一方法就是使用Oracle公司提供的LogMiner来进行, Oracle数据库的所有更改都记录在日志中...通过对日志分析我们可以实现下面的目的: 1、查明数据库的逻辑更改; 2、侦察并更正用户的误操作; 3、执行事后审计; 4、执行变化分析。...不仅如此,日志中记录的信息还包括:数据库的更改历史、更改类型(INSERT、UPDATE、DELETE、DDL等)、更改对应的SCN号、以及执行这些操作的用户信息等,LogMiner在分析日志时,将重构等价的...3、v$logmnr_logs,当前用于分析日志列表。 4、v$logmnr_contents,日志分析结果。...2、提取和使用数据字典的选项:现在数据字典不仅可以提取到一个外部文件中,还可以直接提取到重做日志流中,它在日志流中提供了操作当时的数据字典快照,这样就可以实现离线分析

    3K50

    活动分析模板来了!对着抄

    经常有运营小伙伴,不知道咋做活动分析,今天给个能对着抄的模板,帮大家省时省力哦。 看一个最简单的活动场景。...某生鲜小程序,在自己的小程序推出满100减30元活动(每订单满100元即立减30元),为期1周。现在对该活动进行分析。...活动有:指哪打哪的效果,因此在分析活动的时候,先弄清楚: 指哪里:活动的时间、对象 打哪里:达标条件、奖励 一、分解需求 据此,可以分解这个活动需求: 活动时间:1周(X月X日-X月X日) 活动对象:以订单为单位...如果活动做得好的话,应该是购买100的订单大量增加,总收入增加才对。 二、设计活动分析表 有了以上准备,就能设计活动分析表了(如下图) 设计完活动分析表,等活动结束,看数据就好啦!你看,多简单。...XX元老客户享XX优惠 三大类活动,都可以参照上边的做法做分析表,先把活动效果讲清楚,再看活动对不同层级的商品/订单/用户的激励效果。

    68900

    Window日志分析

    C、如何筛选 如果想要查看账户登录事件,在右边点击筛选当前日志,在事件ID填入4624和4625,4624 登录成功 4625 登录失败 D、事件ID及常见场景 对于Windows事件日志分析,不同的...net user USER PASSWORD /add net localgroup administrators USER /add 0x02 日志分析工具 A、Log Parser Log...Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory...它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。.../www.jb51.net/hack/384430.html https://wenku.baidu.com/view/e86ad976e009581b6bd9ebcf.html Powershell日志分析

    62530

    GC 日志分析

    GC 日志分析 首先,如果需要查看 GC 日志,需要在 jvm 参数中加入如下参数 -XX:+PrintGCTimeStamps -XX:+PrintGCDetails -Xloggc:d:/GClogs...image Full GC 日志分析 ? image JVM 参数设置 jvm 参数对应堆内存设置 ? image 比例设置 ?...NewRatio=2:设置年轻代与年老代的比例为2:1 -XX:SurvivorRatio=8:设置年轻代中eden区与survivor区的比例为8:1 -XX:MetaspaceSize=64M:设置元数据空间初始大小...(取代-XX:PermSize) -XX:MaxMetaspaceSize=128M:设置元数据空间最大值(取代之前-XX:MaxPermSize) -XX:TargetSurvivorRatio=50...年老代) -XX:CMSInitiatingOccupancyFraction=80:设置CMS收集器在年老代空间被使用多少后触发 -XX:+CMSClassUnloadingEnabled:允许对类元数据进行回收

    1.3K10

    Nginx日志分析

    于是说干就干,马上打包日志下载到本地,然后操起大Python, 开始了一场数据分析之旅…… 前言 最近把Jekyll搭建的博客翻新了一遍,主要是规范化了文章的永久连接(permlink)和分类标签。...最后将记录插入到刚刚创建的数据库里。 分析 虽然日志清理了很多,只保留几个月的访问情况,但不妨碍我根据现有的字段,提取出一些我所关心的内容。...扯得有点远了,还是继续分析日志吧。...错误日志分析 错误日志也叫应用程序日志,主要用于方便开发者或者运维在出问题的时候排查原因。...总结 通过分析一遍Nginx的日志,也学习了许多新知识,比如数据的可视化,搜索引擎的习惯以及一些XSS和SQL注入的方法等, 算是温故而知新吧。

    1.4K30
    领券