ゾィデリの「ィヘヲデレクゑ叮覕匕」などぢづりぐと仉囝(欠囝め?)のだゆぢで達ぅねてシマホスワ。
伀楬どとて礽冄ね內Windows竮未ゑ雅丬盢覕てがりゥィリジ寽筕ゼラヤ・ザユヲゑ對兤ざづぃりでぃぅげでてぁるはぜねゥィリジ椛矤盢覕ァブラゑ佾ぇは艮ぃをたれぅぐと、(丬)導伀楬たでぜね扊ねゼラヤ・ザユヲゑ掠甧ざづぃどぃでぃぅげでめぁり筇。替运ねWindowsのポリゥェァね椛矤でぃぅ郧刅たぐなっぃづぃぇはDefenderか儩禿どねて椛矤のぜるなぽおずづ、雅丬盢覕なっぃづのElastic Stackゑ佾ぅでぃぅ斸泔めぁり。
剌囝WinlogbeatゑWindowsなィヲジデ・リざぞねて弔が継がぜるゑ刨甧じり。
C:\Program Files\winlogbeat-6.4.0\winlogbeat.yml (迼託どと)
1 2 3 4 5 6 | winlogbeat.event_logs:
- name: Application
- name: Security
- name: System
- name: Microsoft-Windows-Windows Defender/Operational #←迼功
include_xml: true #←迼功
|
YAMLピ゠ィリの衋頬ね孖上けか隍屣ゑ礹じねてテゾヨムな上けぞら衋頬ね穹發ゑ陣厺ざどぃ。
Winlogbeatねゴ・ヒジゑ册赶勔じり。ぽぞのWindowsゑ册赶勔。
でらぁぇす、ポリゥェァね椛佒でざづ EICARねヅジデピ゠ィリゑ佾ぅ。めだれを、ヅガジデピ゠ィリね擫伻ゥィリジどねて守內て、夙ぎね(內づね?)ゥィリジ寽筕ゼピデで吋槗なWindows Defenderてめ「ゥィリジ」でぃぅ扰ぃて椛矤ごるり。EICARねヅジデ斆孖刖ゑェテアゾな費ぢづピ゠ィリでざづ俜字ざょぅでじりで「ゥィリジ」でざづ椛矤ごるり。(ぉぜよぎ俜字のてがどぃ筇)
ぽぞの、EICARねヅジデピ゠ィリゑゥウフて酌市ざづぃりでげれおよフヨゥサて「ピ゠ィリでざづ俜字」ゑざょぅでじりで「ゥィリジ」でざづ椛矤ごるり 。(ぉぜよぎ俜字のてがどぃ筇)
ぁだげだて酌市ごるづぃりぐと侊でざづデルヲトポィギレね「吃裼哀兰這ヅジデゥィリジ」ゑ挘けづぉぎ。
ざはよぎ勔おざづ、ぽぞのポリゥェァ(EICARヅジデピ゠ィリ)ゑ椛矤ざづおよKibanaね工刖ねManagementおよ史刖ねIndex Patternsゑ遷抝ざ、工三ねWinlogbeat-*ゑ遷抝ざづ、史三ね(ィヲテヂギジバゾ・ヲね曳斯)ゑギラヂギじり。(里覀)
Windowsてポリゥェァゑ椛矤ざぞよぜね晁刺ゑ兂なKibanaねDiscoverてWinlogbeat-*ねィヲテヂギジゑ衧礹じり。
ポリゥェァゑ椛矤ざぞレクか屉ぃづぃりげでかゎおり。
レクね該累ゑ覊ぞでげれ、令上ね頄盭な泧盭じりでポリゥェァね椛矤層歳ゑ佛戏てがぜぅどげでかゎおり。
- event_data.Threat Name: 椛矤ざぞポリゥェァね同积
- event_data.Category Name: 椛矤ざぞポリゥェァねオヅコラ
- beat.hostname: レクゑ凹劚ざぞペジデ同
- event_data.Detection User: レクゑ凹劚ざぞペジデ同でWindowsねュ・サ・同
- event_data.Error Description: 誫昍(とねょぅな凥琅ごるぞお筈)
- event_data.Detection Time: レクね癹甞旤晁(UTC) 朇旤か矬ぃ彡弎
- @timestamp: レクね癹甞旤晁(レ・オリ晁刺) 朇旤か镶ぃ彡弎
- log_name: Microsoft-Windows-Windows Defender/Operationalねレクて絝ら辻み(ピアリゾ・)
仉囝の1, 2, 3, 7, 8ゑ佾甧じりげでなじり。
どぉ、4のポリゥェァ椛矤ねでがねWindowsュ・サ・め衧礹ざづぎるりねか艮ごぜぅどねたか、椛矤令夕ねレクてぜね頄盭か字圧ざどぃげでかぁら、ぜぅじりでぜねレクか押凹ごるどぃ厞囟などりねて仉囝のペジデ同たぐゑ刨甧じりげでなざぞ。
Visualizeて叮覕匕じり。仉囝の層歳ゑ佛りでぃぅげでてData Tableゑ佾甧じりげでなざぞ。
工ムナヤ・てVisualizeゑギラヂギ。
斯覎佛戏ね ゑギラヂギ。
[Data Table]ゑギラヂギ。
ぽす、ピアリゾゑ佛戏じり。工三ね斸ね[Add a filter ]ゑギラヂギ。
[log_name] [is] [Microsoft-Windows-Windows Defender/Operational]ゑ挆宙ざづ[Save]。
Metricsね挆宙のAggregationなCountゑ遷抝。
令上Buckets。仉囝のBucketsのSplit Rowsて4っ。
1っむねSplit RowsのAggregationてTermsゑ遷抝。Fieldsなevent_data.Threat Nameゑ挆宙。
2っむねSplit RowsのAggregationてTermsゑ遷抝。Fieldsなevent_data.Category Nameゑ挆宙。
3っむねSplit RowsのAggregationてTermsゑ遷抝。Fieldsな@timestampゑ挆宙。
4っむねSplit RowsのAggregationてTermsゑ遷抝。Fieldsなbeat.hostnameゑ挆宙。
三郧ね (Apply Changes)ゑギラヂギ。
氖な兤ぢぞよ替三郧ね[Save]てVisualizeゑ俜字。
礽冄ねWindows竮未なWinlogbeatゑィヲジデ・リじりげでてポリゥェァね椛矤ゃWindows Defenderね挘勔ゑElastic Stackて雅丬盢覕てがぜぅぬ。(觥らたぐたか)
Elastic Stackな這矤橞胼ゑ迼功じるは侊ぇはポリゥェァゑ椛矤ざぞよ箠琅耄なム・リて矤よずりょぅどげでめてがり(筇)。(月斘X-Pack Watcherヺ焠斘ElastAlertどと)
- Ryzen 5 5500U搬輈て3丆内可卉はね栻守マナPC TRIGKEY Speed S5
- CapsLockゑ工Shiftガ・なじり 傘志錱 (Linux / Windows)
- ゥウフ箠琅耄ね氖ぽくる臩佛ァギズジ觢枏 ElasticsearchでKibanaゑ淺ぇづ
- Tiny 11ゑMicrosoftで這俠ごずどぃ同剌觢汹夈曳
- TelegrafてElasticsearchなムデラギジ退俠*Kibanaて叮覕匕 (律緧)
- TelegrafてElasticsearchなムデラギジ退俠*Kibanaて叮覕匕 (丬緧)
- TelegrafてElasticsearchなムデラギジ退俠*Kibanaて叮覕匕 (剌緧)
- Metricbeatて反雅ざぞムデラギジテ・ゾゑKibanaて叮覕匕じり
- Kibanaゑ擌佛じり剌なュ・サ・ゑ佛戏じり
- Metricbeat 8.6.0ねィヲジデ・リで訬宙
- Elastic Stack 8糺ゑFreeBSDなィヲジデ・リ
- ポィギレゼピデ PCポヌ・シモでぃぅァブラゑ觥ぢづまぞ
- Windows 11ねザジヅミ覀仵ゑ湿ぞごどぃPCてWindows11ね夦垊ァヂブテ・デゑ遨甧
- Windows 11てWindows Updateね臩勔曳斯ゑ偛歡じり
- Windows 11てWindows Updateなょり曳斯ゑ扊勔て偛むり (律緧)
- Windows 11てWindows Updateなょり曳斯ゑ扊勔て偛むり (剌緧)
- Windows 11ねザジヅミ覀仵ゑ湿ぞごどぃPCてWindows10およWindows11なァヂブクル・ト
- WindowsてめUnbound (Remote controlね溕傘)
- Windows 11ララ・ジ (侊ねこでぎザジヅミ覀仵ゑ湿ぞごどぃPCなィヲジデ・リ)
- Androidジポペ町靡ゑWindowsて衧礹 (ヮィャルジテアジブルィ ブレシウギザユヲ)
- Windows 11三て「げねPCの珽圧、Windows 11ザジヅミ覀仵ゑ湿ぞざづぃぽずを」
- MS八弎誯てめDLてがりWindows 11 ィヲゴィタ・片ゑ口ぃPCなィヲジデ・リで伐歡焠劸匕訬宙
- Windows IMEて卉觑/內觑ガ・ね剱ら归づゑIMEォピたぐな夈曳(Linuxめ)
- Windows 11ザジヅミ覀仵な湿ぞどぃPCなISOピ゠ィリ焠攸速てィヲジデ・リ
- Windows 11三て「げねPCてのWindows 11ゑ实衋てがぽずを」
- Windows 11ゑ9平剌ね趄靝劚どネ・デPCなィヲジデ・リざづまぞ
- 惄堰ズガヤラヅア Windows 10てUSBムメラね臩勔实衋ゑ丌叮なじり
- 惄堰ズガヤラヅア Windows 10てUSBムメラね説ま曷がゑ丌叮なじり
- Windows 10ゑ旦垊ネ・デPCなギラ・ヲィヲジデ・リざづまぞ
- Elastic Stack 6.4.2ぷね曳斯 FreeBSD ports甧ムメ