Windows Log Analizi — DeepBlue
Oct 22, 2021
Bu yazımızda DeepBlue kurulumunu ve windows işletim sisteminde log analizinin ve tehdit avcılığının nasıl yapılabileceğini ele alacağız.
DeepBlue Windows Olay loglarında tehdit avcılığı yapmak için kullanılan bir powershell modülüdür.
Aşağıdaki log tiplerini desteklemektedir:
- Windows Security
- Windows System
- Windows Application
- Windows PowerShell
- Sysmon
https://github.com/sans-blue-team/DeepBlueCLI linki aracılığıyla DeepBlue powershell kodunu indiriyoruz.
Powershelli yönetici olarak çalıştırıyoruz ve Execution Policy’i aşağıdaki şekilde güncelliyoruz.
PS D:\DeepBlueCLI-master> Set-ExecutionPolicy Unrestricted
Programı lokalde aşağıdaki şekilde çalıştırabiliriz:
.\DeepBlue.ps1 <log_name> <log>
.\DeepBlue.ps1 -log security
Programın çıktısı aşağıdaki şekildedir:
