Le but ici est de détecter un téléchargement initié dans powershell.
sourcetype="XXX_sourcetype" :ici on spécifie le sourcetype
EventCode=4104 CommandLine="powershell.exe" : ici on renseigne l'event code correspondant
| rex field=CommandLine "Invoke-WebRequest\s(?:-Uri\s(?\S+)\s)" : ici on utilise une expression régulière (rex) pour extraire l'URI (Uri) à partir de la commande Invoke-WebRequest
Cette requête nous aide à identifier non seulement quand quelqu'un peut utiliser PowerShell pour télécharger/uploader des fichiers. Cette requête suivante peut être utilisée pour rechercher tout événement ID 3, l'image étant définie sur powershell.exe et l'adresse IP de destination
Le but ici est de détecter un téléchargement initié dans powershell.
sourcetype="XXX_sourcetype" :ici on spécifie le sourcetype EventCode=4104 CommandLine="powershell.exe" : ici on renseigne l'event code correspondant | rex field=CommandLine "Invoke-WebRequest\s(?:-Uri\s(?\S+)\s)" : ici on utilise une expression régulière (rex) pour extraire l'URI (Uri) à partir de la commande Invoke-WebRequest
index= source="WinEventLog:Sysmon" "EventCode=3" | search Image="\powershell.exe" | table _time Computer User dest_ip
Cette requête nous aide à identifier non seulement quand quelqu'un peut utiliser PowerShell pour télécharger/uploader des fichiers. Cette requête suivante peut être utilisée pour rechercher tout événement ID 3, l'image étant définie sur powershell.exe et l'adresse IP de destination