先日、プライベートのPCを触っていたらWindowsDefenderが有害なスクリプトを検出しました。結果的に問題なかったのですが、改めて攻撃を受けた際にすぐに対処できるようにWindowsの設定を見直しました。自分用の備忘録としてまとめます。
WindowsDefender関連
基本的にFirewallが有効になっていれば大概の攻撃は防げると思いますが、リバースシェルを叩かれたりした場合の攻撃者側の特定とブロックに使用できるかな~と思って有効化しました。(踏み台大量に持っているハッカーとかだったら意味ないですかね。。。)
※「win」+「s」で検索窓を開き、「セキュリティが強化された Windows Defender ファイアウォール」を検索すれば有効化されているか確認できます。
-
WindowsDefenderのログ有効化
- wiresharkでログを記録をしてもよかったのですが、Defenderの方が見やすかったためこちらの方法をとりました
プロセス関連
DefenderでブロックされたスクリプトはPIDが吐かれていたので、そのPIDの実行ユーザーを調査したりその他調査の足がかりに使えるかなーと思って以下手順でイベントログの有効化を行いました。