Обнаружение запланированных задач с помощью sysmon

Question

Как я могу обнаружить выполнение запланированных задач с помощью sysmon в splunk?

Запущена запланированная задача, и я не знаю с тех пор, как она началась, как я могу определить запланированную задачу и когда она впервые началась?

Я знаю, что EventID 106 - расшифровывается как «новое запланированное задание», но есть ли в сообщении идентификатор события или что-то, что говорит мне, что процесс происходит из запланированного задания?

СпасибоВы заранее

Answer 1

Я знаю, что вы можете проверить Logon_Type = 4 в событиях входа в систему безопасности Windows (4624, 4625, 4634), которые относятся к входам, связанным с «Пакетной / запланированной задачей».

Есть ли у вас журнал запланированных задачпопадает в Splunk input.conf? https://docs.splunk.com/Documentation/Splunk/latest/Data/MonitorWindowseventlogdata#Use_the_.22Full_Name.22_log_property_in_Event_Viewer_to_specify_complex_Event_Log_channel_names_properly