原创 Ots安全

该存储库包含多个 PowerShell 脚本，可以帮助您应对 Windows 设备上的网络攻击。

包括以下事件响应脚本：

DFIR 脚本：收集DFIR 脚本部分列出的所有项目。

CollectWindowsEvents：收集所有 Windows 事件并将其输出为 CSV。

CollectWindowsSecurityEvents：收集所有 Windows 安全事件并将其输出为 CSV。

CollectPnPDevices：收集所有即插即用设备，例如 USB、网络和存储。

DumpLocalAdmins：返回设备的所有本地管理员。

LastLogons—列出设备最后 N 次成功登录。

ListInstalledSecurityProducts - 列出已安装的安全产品及其状态。

ListDefenderExclusions - 列出定义的 FolderPath、FileExtension、Process 和 IP 排除。

相关博客：

事件响应第 3 部分：利用实时响应

事件响应 PowerShell V2

DFIR 脚本： 提取的工件

DFIR 脚本从多个来源收集信息，并将当前目录中的输出结构化到名为“DFIR-主机名-年份-月份-日期”的文件夹中。此文件夹在末尾压缩，以便可以远程收集该文件夹。此脚本还可以在 Defender For Endpoint 的实时响应会话中使用（见下文）。
DFIR 脚本在以普通用户身份运行时收集以下信息：

本地 IP 信息

打开连接

自动运行信息（启动文件夹和注册表运行键）

活跃用户

本地用户

通过 Office 应用程序建立的连接

活跃的 SMB 共享

RDP 会话

活动进程

活动 USB 连接

PowerShell 历史

DNS 缓存

已安装的驱动程序

已安装的软件

运行服务

计划任务

浏览器历史记录和配置文件

为了获得最佳体验，请以管理员身份运行脚本，然后还将收集以下项目：

Windows 安全事件

远程打开的文件

卷影副本

MP日志

后卫排除

PowerShell 历史记录所有用户

SIEM 导入功能

取证结果以 CSV 文件形式导出，响应人员可将其导入到他们的工具中。一些可用于导入数据的示例工具包括 Sentinel、Splunk、Elastic 或 Azure Data Explorer。这样您就可以使用首选查询语言执行过滤、聚合和可视化。

文件夹CSV 结果（SIEM 导入数据）包含所有含有工件的 CSV 文件，文件夹列表如下所示。

Name
----
ActiveUsers.csv
AutoRun.csv
ConnectedDevices.csv
DefenderExclusions.csv
DNSCache.csv
Drivers.csv
InstalledSoftware.csv
IPConfiguration.csv
LocalUsers.csv
NetworkShares.csv
OfficeConnections.csv
OpenTCPConnections.csv
PowerShellHistory.csv
Processes.csv
RDPSessions.csv
RemotelyOpenedFiles.csv
RunningServices.csv
ScheduledTasks.csv
ScheduledTasksRunInfo.csv
SecurityEvents.csv
ShadowCopy.csv
SMBShares.csv

DFIR 命令

DFIR 命令页面包含可在事件响应过程中使用的各个 PowerShell 命令。定义了以下类别：

連接

持久性

Windows 安全事件

流程

用户和群组信息

应用

文件分析

收集IOCS信息

Windows 使用情况

可以通过运行以下命令来执行该脚本。

.\DFIR-Script.ps1

该脚本未签名，这可能导致必须使用 -ExecutionPolicy Bypass 来运行该脚本。

Powershell.exe -ExecutionPolicy Bypass .\DFIR-Script.ps1

DFIR 脚本 | Defender For Endpoint 实时响应集成

可以将 DFIR 脚本与 Defender For Endpoint Live Response 结合使用。确保已设置 Live Response（请参阅 DOCS）。由于我的脚本未签名，因此必须更改设置才能运行该脚本。

有一篇博客文章详细介绍了如何在实时响应中利用自定义脚本：事件响应第 3 部分：利用实时响应

实时运行未签名的脚本响应：

Security.microsoft.com

设置

端点

高级功能

确保已启用实时响应

如果要在服务器上运行此程序，请启用服务器的实时响应

启用实时响应未签名脚本执行

执行脚本：

进入设备页面

发起实时响应会话

将文件上传到库以上传脚本

将脚本上传到库后执行：run DFIR-script.ps1启动脚本。

执行getfile DFIR-DeviceName-yyyy-mm-dd将检索到的工件下载到本地机器进行分析。

文档

Microsoft 文档实时响应

DFE 用户权限

Defender For Endpoint 设置实时响应

项目地址

https://github.com/Bert-JanP/Incident-Response-Powershell