Además del antivirus, los administradores pueden aprovechar varias funciones de seguridad de Windows para monitorear y detectar posibles amenazas a la seguridad en sus sistemas.
La interfaz de secuencias de comandos antimalware (AMSI)
👉Permite que los productos antivirus y antimalware escaneen y analicen el contenido de las secuencias de comandos antes de su ejecución. Los defensores pueden usar AMSI para monitorear scripts en busca de comportamiento malicioso, incluidos intentos de descargar o ejecutar malware.
El registro de bloques de scripts de PowerShell
👉Es una característica de seguridad de Windows que registra los comandos y scripts de PowerShell ejecutados en un sistema. Los administradores pueden usar esta función para monitorear la actividad de PowerShell y detectar scripts sospechosos o maliciosos que pueden usarse en diversos escenarios de ataque.
El seguimiento de eventos para Windows (ETW)
👉Es una característica de seguridad de Windows que proporciona un marco para registrar eventos del sistema. Los administradores pueden utilizar ETW para recopilar una amplia gama de eventos del sistema, incluidas la creación de procesos, la actividad de la red y las modificaciones del registro.
Estos eventos se pueden analizar para detectar actividades sospechosas e identificar posibles incidentes de seguridad.
Al aprovechar estas características de seguridad de Windows, los administradores pueden monitorear sus sistemas en busca de posibles amenazas a la seguridad e identificar y responder rápidamente a cualquier actividad sospechosa. AMSI, PowerShell Script Block Logging y ETW brindan a los defensores herramientas poderosas para monitorear scripts y eventos del sistema, detectar actividades sospechosas e investigar incidentes de seguridad de manera eficiente.
Saludos.
Rodolfo Hernández Baz
X.25 Security Conferences 2024
http://x25sec.com/
No hay comentarios:
Publicar un comentario