Перечисление журналов

Злоумышленники могут перечислять системные журналы и журналы служб для поиска полезных данных. Эти журналы могут выявить различные типы ценных сведений для злоумышленника, такие как записи аутентификации пользователей (Обнаружение учетных записей), программное обеспечение безопасности или уязвимое программное обеспечение (Обнаружение программного обеспечения) или хосты в скомпрометированной сети (Обнаружение удаленных систем). Двоичные файлы хоста могут использоваться для сбора системных журналов. Примеры включают использование `wevtutil.exe` или PowerShell в Windows для доступа и/или экспорта информации о событиях безопасности. В облачных средах злоумышленники могут использовать утилиты, такие как `CollectGuestLogs.exe` агента Azure VM, для сбора журналов безопасности из размещенной в облаке инфраструктуры. Злоумышленники также могут нацеливаться на централизованную инфраструктуру журналирования, такую как SIEM. Журналы также могут быть массово экспортированы и отправлены в инфраструктуру, контролируемую злоумышленником, для автономного анализа. В дополнение к лучшему пониманию среды, злоумышленники также могут отслеживать журналы в реальном времени для отслеживания процедур реагирования на инциденты. Это может позволить им корректировать свои техники для сохранения закрепления или уклонения от защиты.