Mám předplatné Discover a hledám způsob, jak identifikovat VPN software používaný v mém prostředí. Zadal jsem “VPN” do názvu aplikace, ale vrátí jen software, který obsahuje VPN v názvu. Prohlížel jsem si nějaké dotazy v Splunku, ale kvůli specifickému způsobu vyhledávání v událostech jsou mé dotazy téměř nepoužitelné. Stalo se vám to taky? Máte nějaké řešení? Díky!
Můžete to snadno udělat vyhledáváním podle názvu procesu
Spusťte požadovaný VPN klient a najděte ho v Správci úloh, abyste poznali název spustitelného souboru (klikněte pravým tlačítkem na proces a vlastnosti). U klienta GlobalProtect od Palo Alto je to “PanGPA.exe”. Nyní v Discover vyhledejte název souboru pomocí vašeho *.exe z kroku 1 a odešlete pro získání požadovaných dat.
Jak vidíte, mnoho VPN klientů nemá ve vlastnostech řetězec “vpn”, takže je těžší je identifikovat tímto způsobem.
Někteří další klienti jsou:
vpnui.exe - Cisco AnyConnect
FortiClient.exe - klient VPN od Fortinetu
Pokud chcete pouze sestavit seznam VPN a začít vytvářet vyhledávání, TF dělá každoroční přehled VPN. V tomto článku je docela komplexní seznam
Pokud chcete zkusit něco rychlého, jednoduchého a nezávazného, zkuste toto:
| inputlookup appinfo.csv
| search ProductName=*vpn* OR FileDescription=*vpn*
| stats values(CompanyName) as companyName values(FileName) as fileName values(FileDescription) as fileDescprtion by SHA256HashData
Enrichuje CS svá Discover data kategorií nebo popisy softwaru? Vím, že jejich tým pro služby to dělá při provádění hodnocení kompromitace. Shromažďují data o lokálních hashech souborů pomocí jejich forenzního nástroje a identifikují software podle kategorií. To vám pomůže identifikovat riskantný software v prostředí. Zdá se, že by tyto informace mohli poskytnout prostřednictvím Discover, protože je určitě mají
Jo, myslím, že toto je cesta, kterou možná budu muset jít. /u/rogueit zmínil i sestavení seznamu. Doufal jsem, že existuje způsob, jak identifikovat VPN software na základě Falcon ML, IOAs atd…Vím, že použití VPN samo o sobě není škodlivé, jen jsem doufal, že existuje nějaký způsob. Díky!