:strip_icc():strip_exif()/u/12176/workrave2.jpg?f=community)
Dit is geen vraagstelling meer een kleine walkthrough hoe je applocker in learning mode kan instellen en data uit de sql database goed extrakten.
Ik ben bezig geweest om met eventforwarding en applocker in learning mode in kaart te brengen wat er allemaal opgestart wordt op computers in de omgeving waar ik werk. Nu is de implementatie van Applocker en de forwarding server niet zo moeilijk en het opzetten van de database met de kant en klare scripts ook niet van onderstaande weblinks:
Eventforwarding
SQL database en Powershellscript
Nu krijg je alle ruwe data in de SQL database, Ik heb onderaan het powershell script de volgende regel zelf toegevoegd 'wevtutil cl ForwardedEvents' deze maakt je forwarding eventlog schoon.
Bij ons zijn meer dan 10K werkstations en je log loopt dusdanig snel vol (+20GB) dat de eventviewer niet meer lekker reageert.
Probleem waar ik tegen aan liep was dat alles in de SQL database gedumpt wordt met bijvoorbeeld volgende regel: %WINDIR%\CCM\SYSTEMTEMP\E36AE8F8-5398-4487-98E4-9A170A085F80.VBS was allowed to run.
Hier heb je dus weinig aan. Nu heeft een goede vriend van me mij een sql query op mijn verzoek gegeven en hierna krijg je netjes machine + wat er opgestart is te zien.
SQL Qeuery:
Select distinct MachineName
, ExecutableFile = case
when [Message] like '%.% was allowed to run%' then substring([Message], (len([Message]) - charindex('\', reverse([Message]), 0) + 2), patindex('%was allowed to run%', [Message]) - (len([Message]) - charindex('\', reverse([Message])) + 3))
else null
end
from GeneralEvents
order by MachineName, ExecutableFile
select * from dbo.GeneralEvents
Nu krijg je dus 2 kolommen. MachineName en Executablefile.
Nu kun je netjes in kaart brengen wat er allemaal opgestart wordt. Dit moet een tijd draaien en dan heb je een mooi overzicht en alle paden die je eventueel in applocker in moet stellen. Mocht men nog tips hebben hoe je dit nog mooier kan doen meld het vooral.
Ik ben bezig geweest om met eventforwarding en applocker in learning mode in kaart te brengen wat er allemaal opgestart wordt op computers in de omgeving waar ik werk. Nu is de implementatie van Applocker en de forwarding server niet zo moeilijk en het opzetten van de database met de kant en klare scripts ook niet van onderstaande weblinks:
Eventforwarding
SQL database en Powershellscript
Nu krijg je alle ruwe data in de SQL database, Ik heb onderaan het powershell script de volgende regel zelf toegevoegd 'wevtutil cl ForwardedEvents' deze maakt je forwarding eventlog schoon.
Bij ons zijn meer dan 10K werkstations en je log loopt dusdanig snel vol (+20GB) dat de eventviewer niet meer lekker reageert.
Probleem waar ik tegen aan liep was dat alles in de SQL database gedumpt wordt met bijvoorbeeld volgende regel: %WINDIR%\CCM\SYSTEMTEMP\E36AE8F8-5398-4487-98E4-9A170A085F80.VBS was allowed to run.
Hier heb je dus weinig aan. Nu heeft een goede vriend van me mij een sql query op mijn verzoek gegeven en hierna krijg je netjes machine + wat er opgestart is te zien.
SQL Qeuery:
Select distinct MachineName
, ExecutableFile = case
when [Message] like '%.% was allowed to run%' then substring([Message], (len([Message]) - charindex('\', reverse([Message]), 0) + 2), patindex('%was allowed to run%', [Message]) - (len([Message]) - charindex('\', reverse([Message])) + 3))
else null
end
from GeneralEvents
order by MachineName, ExecutableFile
select * from dbo.GeneralEvents
Nu krijg je dus 2 kolommen. MachineName en Executablefile.
Nu kun je netjes in kaart brengen wat er allemaal opgestart wordt. Dit moet een tijd draaien en dan heb je een mooi overzicht en alle paden die je eventueel in applocker in moet stellen. Mocht men nog tips hebben hoe je dit nog mooier kan doen meld het vooral.