实战指南:Windows日志、Sysmon与ELK集成监控

本网络研讨会深入探讨如何将Windows事件日志与Sysmon数据集成到ELK堆栈中,涵盖HELK和Winlogbeat工具的使用方法,帮助安全团队实现高效日志管理与威胁检测。

网络研讨会:Windows日志、Sysmon与ELK

点击时间码跳转至视频对应部分(YouTube)
研讨会幻灯片可在此处获取:下载链接

  • 4:36 问题陈述与执行摘要
  • 9:00 Sysmon简要回顾、ELK介绍、ELK组成程序、数据类型及其对Elasticsearch的影响、观众问答
  • 20:51 不同类型日志的讨论、Logstash处理并导入日志到Elasticsearch的方法、Kibana及其用途、最佳使用建议
  • 27:12 HELK演示
  • 48:34 Sigma工具介绍、ELK未来计划、问答与总结

本次网络研讨会于2019年8月26日由John Strand现场录制。内容涵盖如何将Windows事件日志从Windows系统中提取并转化为更有用的格式。过程中会吐槽Windows日志的不足之处,随后重点介绍Sysmon的强大功能,并详细讨论如何将Sysmon集成到ELK堆栈中。内容包括HELK(非常强大)和Winlogbeat(功能出色但命名可能是有史以来最差的安全工具之一,像是一个糟糕的说唱名字)。

想要提升技能并直接向John学习?
可查看以下他的课程:

  • SOC核心技能
  • 主动防御与网络欺骗
  • BHIS与MITRE ATT&CK入门安全
  • 渗透测试入门

支持直播/虚拟和点播学习。

相关主题

  • 如何通过UART黑客硬件
  • Sysmon入门

[返回顶部]

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次