Подобно Шаблону кода WMI Process Watcher, телеметрия может быть интересной и полезной как для защитника, так и для злоумышленника, чтобы знать, кто и когда входит в систему, поэтому я опубликовал пример шаблона кода для сбора этой информации. журнал событий безопасности Windows (https://github.com/malcomvetter/WhoDis).
Первое, что нам нужно сделать, это настроить метод для «прослушивания» новых событий журнала событий безопасности:
После того, как у нас есть прослушиватель и он работает, мы просто ждем поступления события и собираем данные для входа:
Вот и все. Весь пример доказательства концепции занимает менее 100 строк C#.
Перейдите к следующему сообщению в моей серии статей о C# Tradecraft.
