[English]IT-Sicherheit sollte keine Frage des Geldes sein – das sind oft vorgeschobene Ausreden. MVP Tom Wechsler hat sich einige Gedanken um das Thema gemacht und zeigt, wie man sogar mit der PowerShell und wenigen Zeilen Code nach Problemen in der IT-Sicherheit forschen kann. In einem Beitrag in der Techcommunity von Microsoft gibt er einen Überblick, wie man IT-Bedrohungen mittels PowerShell analysieren kann.
Anzeige
Ich bin gerade auf Twitter über den entsprechenden Post von MVP Tom Wechsler gestolpert. Er schreibt, dass mangelnde IT-Sicherheit oft damit entschuldigt werde, dass wenig oder kein Geld zur Verfügung stehe. Das hält er für eine billige Ausrede.
Daher versucht er, mittels der PowerShell in Windows verschiedene Scripte, um verschiedene Fragestellungen zu untersucht. Damit sollen Bedrohungen gefunden bzw. erkannt werden. Die PowerShell sieht er als ein nützliches Tool für die Suche nach Bedrohungen in Windows Umgebungen. Es sei eine leistungsstarke Skriptsprache und eine Plattform für die Automatisierung von Tools und den Zugriff auf Daten in jeder Windows-Umgebung.
Mittels der PowerShell können Administratoren schnell Informationen aus verschiedenen Quellen wie Ereignisprotokollen, Registrierungen, Dateien und Prozessen sammeln. Darüber hinaus lässt sich die PowerShell problemlos in andere Tools und Technologien integrieren, was sie zu einem flexiblen und effizienten Tool für die Bedrohungssuche macht.
Anwendungsfälle für PowerShell-Scripte in der Bedrohungssuche sind die automatisierte Erfassung von Protokolldaten, die Identifizierung ungewöhnlicher Verhaltensanomalien im System, die Entdeckung von Malware oder bösartigen Aktivitäten anhand bekannter Signaturen oder Muster oder Verhaltensweisen. Dies sind nur einige Beispiele dafür, wie PowerShell bei der Bedrohungssuche eingesetzt werden kann.
Wechsler beschreibt die Details im Techcommunity-Beitrag Threat Hunting with PowerShell – Security even with a small budget – there is no excuse! Die Scripte sind zwar ungefährlich, aber wer die Scripte einsetzt, sollte aber schon verstanden haben, was diese so tun. Denn die Suchmuster in den Scripten müssen angepasst werden. Wechsler empfiehlt zudem, sich die schriftliche Erlaubnis einzuholen, die betreffenden Untersuchungen vornehmen zu dürfen. Vielleicht sind der Artikel und die Scripte für den einen oder anderen aus der Leserschaft von Interesse.
2015
Tom Wechsler hat tolle "deutsche" Einsteiger-Videokurse rund um Windows Server und ActiveDirectory auf udemy.com.
Die Shell ist in sich ein Sicherheitsvorfall und sollte via Firewall immer so reglementiert werden das sie keinen Netzwerkzugriff hat.