윈도우 이벤트 로그

구독
다운로드 34
업데이트 2024. 6. 13.

윈도우 서비스 비활성화

임의의 윈도우 서비스를 비활성화하는 경우 탐지합니다.

개요

  • 중요도: 상
  • 유형: 실시간 탐지
  • 로그 스키마: 윈도우 이벤트
  • 대상 수집모델
    • 윈도우 이벤트 - 시스템

쿼리

윈도우는 서비스 시작 유형이 변경되면 윈도우 시스템 이벤트에 이벤트 ID 7040을 기록합니다. 자동 시작 등 서비스가 활성화된 상태에서 사용 안 함 상태로 변경되는 경우 탐지합니다.

| search event_id == "7040"
| eval state1 = xpath(xml, "//Event/EventData/Data[@Name='param2']/text()")
| eval state2 = xpath(xml, "//Event/EventData/Data[@Name='param3']/text()")
| search state1 != "사용 안 함" and state2 == "사용 안 함"

위협 분석

  • 윈도우 시스템에 설치된 EDR 등 보안 서비스를 비활성화하여 탐지를 회피할 수 있습니다.

오탐 유형

  • 서비스 비활성화가 일반적이지는 않지만, 정상적인 서비스 비활성화 작업도 탐지됩니다.

MITRE ATT&CK