윈도우 이벤트 로그

다운로드 34

업데이트 2024. 6. 13.

윈도우 서비스 설치

새로운 윈도우 서비스 설치 시 탐지합니다.

개요

중요도: 하
유형: 실시간 탐지
로그 스키마: 윈도우 이벤트
대상 수집모델
- 윈도우 이벤트 - 시스템

쿼리

이벤트 채널 System 을 대상으로 서비스 설치에 해당되는 이벤트 ID 7045를 필터링합니다.

| search event_id == "7045"
| eval svc_name = xpath(xml, "//Event/EventData/Data[@Name='ServiceName']/text()")
| eval src_ip = host_ip

위협 분석

공격자는 대상 윈도우 시스템에 윈도우 서비스를 설치하여 악성 행위를 실행할 수 있습니다.

오탐 유형

정상적인 윈도우 서비스 설치도 탐지하므로, 화이트리스트를 이용하여 불필요한 이벤트는 제거합니다.
- 예시: GoogleUpdater Service 127.0.6490.0 (GoogleUpdaterService127.0.6490.0)

MITRE ATT&CK

전술
- Execution
기법
- 이름: System Services: Service Execution
- ID: T1569.002
- 참조 URL: https://attack.mitre.org/techniques/T1569/002/