윈도우 이벤트 로그

다운로드 49
업데이트 2024. 6. 13.

윈도우 서비스 설치

새로운 윈도우 서비스 설치 시 탐지합니다.

개요

  • 중요도: 하
  • 유형: 실시간 탐지
  • 로그 스키마: 윈도우 이벤트
  • 대상 수집모델
    • 윈도우 이벤트 - 시스템

쿼리

이벤트 채널 System 을 대상으로 서비스 설치에 해당되는 이벤트 ID 7045를 필터링합니다.

| search event_id == "7045"
| eval svc_name = xpath(xml, "//Event/EventData/Data[@Name='ServiceName']/text()")
| eval src_ip = host_ip

위협 분석

  • 공격자는 대상 윈도우 시스템에 윈도우 서비스를 설치하여 악성 행위를 실행할 수 있습니다.

오탐 유형

  • 정상적인 윈도우 서비스 설치도 탐지하므로, 화이트리스트를 이용하여 불필요한 이벤트는 제거합니다.
    • 예시: GoogleUpdater Service 127.0.6490.0 (GoogleUpdaterService127.0.6490.0)

MITRE ATT&CK