Security Blog – Všechno si člověk musí někam zapsat, jinak to zapomene. Zde jsou moje zápisky z oblasti bezpečnosti.

Test rychlosti USB flash vs. SDHC

Jelikož už se dávno potýkám s výkonem diskového IO na SD kartě na RaspberryPi 3 rozhodl jsem se zakoupit nové vybavení a zde se podělím o způsob a výsledky testování. Je možné že v budoucnu se zde objeví i další výsledky testování. Na čem jsem testoval Raspberry Pi 3 Model B+ 64-bit 1GB RAM2,5A oficiální microUSB napájecí zdrojTranscend Ultimate 600x 16GB microSDHC UHS-I U1 TS16GUSDHC10U1 ADATA Flash Disk 32GB USB 3.1 Dash Drive UV320, Black/Blue Výše číst dál

Vyhodnocování evtx souborů -extrakce událostí dle ID a export do csv

Vyvstala potřeba vyhodnotit větší množství bezpečnostních logů, přihlášení odhlášení uživatele. Z tohoto důvodu vznikl tento powershell skript.

Problém který potrápil bylo extrahovat uživatelské jméno z logu, který není u těchto událostí přímo dostupný, byla použita následující konstrukce:

Celý skript pak vypadá následovně:

Pokud je třeba konvertovat EVT na modernější formát EVTX, doporučuji využít WevtUtil. Zde opět ukázka konvertovacího číst dál

Kdo co kam kopíroval – vytěžování ePO

Vyvstala potřeba zjistit co konkrétní uživatel vykopíroval na externí medium ve specifickém čase. Jako nejlepší se mi zdálo využít vytvořený dotaz DLP_EventView a přidat mu několik parametrů:

Další parametry užijte dle vlastního uvážení.

Věřím že pomůže i Vám, podělte se o případné návrhy. číst dál

Čekej na soubor a zkopíruj ho než zmizí

Tento jednoduchý skript je možné využít na hlídání existence souboru a jeho zkopírování někam jinam.

Skript jsem použil na hlídání souboru který existuje pouze několik okamžiků a není předem znám jeho název. Po překopírování je skript ukončen. V tomto případě hlídám "upload" DLP politiky na ePo server.

Nic složitého. číst dál

Výpis používání USB Mass storage zařízení z McAfee ePO databáze

Pro potřeby jednoduše dohledat konkrétní flash v databázi McAfee ePO jejich nástroj DLP Incident Manager prostě nestačí.

Proto je třeba jít rovnou do databáze, konkrétně do tabulky DLP_EventInfo, kde filtruji vybrané sloupce, vložení flash - EventType = 1000, zařízení Mass storage - Class 08 a dle potřeby konkrétního parametru hledané flash.

Dalším krokem je výpis serial_number a dalších hodnot z XML do samostatných sloupců.

Zakomentované řádky číst dál

Vylepšený skript pro stahování logů Windows

Pokročilejší verze pro stahování logů:

Logy nejsou po stažení vymazány, to lze zajistit úpravou parametrů příkazu wevtutil a to přidáním /bu. Pokud je Security log příliš malý mohl by být v rámci čištění vymazán, i tato možnost je ošetřena, log zabezpečení není nikdy mazán.

Dále je stažen log antiviru, zde McAfee. Na závěr je vytvořen log stahování spolu se základními vlastnostmi PC a přiložen do archivu. Ten je uložen do číst dál

Antivirový test na výměnných médiích ve vbs

Jednoduchý skript který detekuje připojená výměnná úložiště a na nich následně spustí antivirový test. číst dál

použití ZIP z příkazového řádku

Windows bohužel ani ve verzi 7 neumí standardně použít vestavěný archivátor ZIP přes příkazový řádek. Tady je řešení ... číst dál

automatický export událostí na Windows 7 / Server 2008

Pro Windows XP tu byl Log Parser, ten už ale ve Windows 7 nefunguje a tak je tu nástroj Windows Events Command Line Utility - wevtutil, který už je pro jistotu součástí instalace, netřeba tedy nic doinstalovávat.

Nástroj wevtutil se používá z příkazového řádku, a po zadání dostanete

Pro automatický export událostí do evtx lze použít dávku. Inspiroval jsem se článkem Script to collect all event logs off a remote Windows 7 / Server 2008 machine ale potřeboval číst dál

o blogu

Já si obvykle moc věcí nepamatuji, tak si to musím psát. Tohle je místo kam budu zapisovat svoje poznámky, kódy, nápady z oblasti počítačové bezpečnosti.

Pokud budete mít jakýkoliv nápad, připomínku, napište mi.