指标阻断

对手可能会尝试阻止传感器通常捕获的指标或事件被收集和分析。这可能包括恶意重定向(引用: Microsoft Lamin Sept 2017)或甚至禁用主机传感器，例如通过篡改控制事件遥测收集和流动的设置来禁用Windows事件跟踪(ETW)(引用: Microsoft About Event Tracing 2018)。(引用: Medium Event Tracing Tampering 2018) 这些设置可能存储在系统中的配置文件和/或注册表中，也可以通过管理实用程序如PowerShell或Windows管理工具访问。 例如，对手可能会修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security中的File值，以将其恶意行为隐藏在新的或不同的.evtx日志文件中。此操作不需要系统重启，并立即生效。(引用: disable_win_evt_logging) ETW中断可以通过多种方式实现，但最直接的方法是使用PowerShell Set-EtwTraceProvider cmdlet定义条件，或直接与注册表交互进行更改。 在网络指标报告的情况下，对手可能会阻止与报告相关的流量，以防止集中分析。这可以通过多种方式实现，例如停止负责转发遥测的本地进程和/或创建主机防火墙规则以阻止特定主机的流量，这些主机负责聚合事件，例如安全信息和事件管理(SIEM)产品。 在Linux环境中，对手可能会禁用或重新配置日志处理工具如syslog或nxlog，以抑制检测和监控能力，以促进后续行为。(引用: LemonDuck)