如何指定需要来自Get-WinEvent的Microsoft Office警报消息？ - 腾讯云开发者社区

文章/答案/技术大牛

发布

Excel 旧用户正成为恶意软件的目标

这种恶意软件攻击活动使用了一种新的恶意软件混淆技术来禁用Microsoft Office的安全防御机制，然后传播和感染Zloader木马病毒。...根据McAfee周四发表的研究报告，这次攻击结合了Microsoft Office Word和Excel中的功能，以共同下载Zloader Payload，而且不会在终端触发恶意攻击警报。...混淆机制分析由于Microsoft Office会自动禁用宏功能，因此攻击者会试图用出现在Word文档中的消息欺骗目标用户以启用宏功能。...消息中会提醒用户：“此文档是在以前版本的Microsoft Office Word中创建的。若要查看或编辑此文档，请单击顶部栏上的“启用编辑”按钮，然后单击“启用内容”。”...毫无疑问，恶意文档一直是大多数恶意软件家族的初始感染入口，这些攻击也在不断演变和升级其感染技术以及混淆技术。因此，我们建议广大用户，仅当接收到的文档来自可信来源时才启用宏功能，这样才是安全的。

6.7K1 0

Microsoft登顶钓鱼仿冒榜首，Roblox成青少年“数字陷阱”——2025年Q4全球品牌冒充攻击全景透视

一、一封“账户异常”邮件，撬动整个企业内网2025年11月，德国一家中型制造企业的IT管理员Markus收到了一封看似来自Microsoft 365安全中心的邮件：“检测到您的账户在尼日利亚有异常登录尝试...Guardio Labs数据显示，2025年Q4检测到的Microsoft仿冒页面中，76%伪装成“安全警报”或“订阅续费”，仅24%为传统登录页。...个人用户：养成“零信任”操作习惯绝不点击邮件/消息中的登录链接：手动输入官网地址（如office.com、facebook.com）；启用强MFA：优先使用FIDO2安全密钥（如YubiKey）或Authenticator...：模拟“Microsoft安全警报”“Facebook违规通知”等场景，测试员工反应。...开发者建议：如何设计抗钓鱼的认证流程？

1121 0

您找到你想要的搜索结果了吗？

是的

没有找到

Windows应急响应之命令行排查

获取Security.evtx的日志： Get-WinEvent -FilterHashtable @{LogName='Security'} 获取事件ID为4624的Security日志： Get-WinEvent...Get-WinEvent @{logname='Microsoft-Windows-PowerShell/Operational';starttime=[datetime]::today } -MaxEvents...10 powershell日志中4104和4100事件： Get-WinEvent -LogName Microsoft-Windows-PowerShell/Operational | Where-Object...view=powershell-5.1 基本都可以用Microsoft Message Analyzer代替，可能在内网机子现场应急的时候需要用Get-WinEvent 排查Windows用户命令...有效的 "dd" 天数可以是 0 - 32768 范围内的任何数字。如果没有指定， "+" 被当作默认符号。

8851 1

11.反恶意软件扫描接口 (AMSI)

如果识别出已知特征，则不会启动执行，并且会显示一条消息，表明脚本已被防病毒软件阻止。下图说明了 AMSI 扫描的过程。 ?...其实不难理解，首先我们要知道我们的恶意脚本是如何注入内存执行的 bypass 杀毒软件时我们的脚本一定是模糊处理的，但是无论我们什么样模糊处理到注入内存执行的时候一定是纯净，清晰的代码，不然脚本引擎无法理解和执行我们的恶意脚本...Otherwise, if the behavior is malicious, then Microsoft Office closes the session in response to the...6.杀毒软件拿到数据后判断宏是否为恶意的。 6.如果行为是无恶意的,那么宏可以执行。否则,关闭宏会话并发出响应警报和处理恶意文件。...Office 365 AMSI 用户配置 > 管理模板 > Microsoft Office 2016 > 安全设置 1.对所有文档禁用：如果对所有文档禁用该功能，则不会对启用的宏执行运行时扫描。

5.8K2 0

为SharePoint 2013配置Office Web Apps

Office Web Apps，相信大家都不陌生，那么如何让SharePoint文档库中的Office文档使用Office Web Apps打开呢？如文档预览： ? 在线查看： ? 在线编辑： ?...您为 –InternalURL 指定的 URL 是运行 Office Web Apps Server 的服务器的名称，例如http://servername。...”消息。...对于此测试环境，您必须指定 –AllowHTTP 参数以允许 SharePoint 2013 通过使用 HTTP 接收来自 Office Web Apps Server 服务器场的发现信息。...一起运行的概述来自 microsoft.com/zh-cn/library/ff431685.aspx> 规划 Office Web Apps（与 SharePoint

3.5K4 0

用FullEventLogView分析日志

的分析用它非常方便，.evtx一般在C:\Windows\System32\winevt\Logs目录，要分析哪台机器的，把日志拿过来，在FullEventLogView里如下图指定数据源，数据源里的文件后缀用...*.evtx 指定条件分析很方便：条件维度如下图比较多，时间、事件级别、事件ID、来源、描述等可以指定条件正向过滤，也可以指定条件反向过滤扩展：端口耗尽、tcpip相关的事件ID 4227,4231,4266...开关机相关的事件ID 12,13,6005,6006,6008,41,1074 攻击相关的事件ID 1014,7031,7032,30800,4227,4231,4266,140,4625 ProviderName...:Microsoft-Windows-User Profiles Service 1530,1531,1532 ProviderName:Windows Error Reporting 1001 激活相关的事件...： tcpip来源的日志4227,4231,4266（如过滤到，则需要放大tcp动态端口范围、缩短timewait回收时间） Get-EventLog -LogName System -Source Tcpip

4.7K5 1

深入理解Windows中的Get-WinEvent命令

PowerShell是一种任务自动化和配置管理框架，由Microsoft为Windows操作系统提供。它包含了一个命令行shell和一个脚本语言环境。...什么是Get-WinEvent命令？ Get-WinEvent 是PowerShell中的一个cmdlet，用于获取Windows事件日志中的事件。...与它类似的命令还有Get-EventLog，但Get-WinEvent提供了更多的功能，包括对远程计算机的支持、对事件追踪日志的支持，以及更高效的日志过滤。如何使用Get-WinEvent命令？...下面是一些基本的用法示例：获取所有事件： Get-WinEvent 注意，因为事件日志可能包含大量的数据，所以这个命令可能需要一些时间才能完成。...进一步过滤事件虽然Get-WinEvent命令本身提供了一些过滤选项，但有时我们可能需要进行更复杂的过滤。

1.4K1 0

好物分享31-用教育或开发者账户白嫖onedrive并做你的同步盘

前言忽然想起来自己的坚果云又要到付费的日子了。摸摸干瘪的口袋，不由得想起来那句老话，家里的余粮不多了。[[08-用坚果云同步你的一切！]]...个人云储存空间-Microsoft OneDrive登录下载使用 | OneDrive[1] 使用onedrive 下载应用登录之后，onedrive 就需要指定一个同步盘的位置。...archive backup 其中15macbook 是我现在电脑上需要同步的重要文件：那么我该如何快速地访问这些文件呢？一个方法是，将这些文件创建快捷方式到目录。...而如果是家庭版的365，也最好是找熟人一起：(5 封私信 / 9 条消息) 如何找到拼团购买Office365家庭版的人？...- 知乎 (zhihu.com): https://www.zhihu.com/question/308958849 [3] (5 封私信 / 9 条消息) 如何找到拼团购买Office365家庭版的人

3.7K3 0

从 Azure AD 到 Active Directory（通过 Azure）——意外的攻击路径

在这篇文章中，我探讨了与此选项相关的危险，它当前是如何配置的（截至 2020 年 5 月）。...Microsoft 将全局管理员记录为“Office 365 管理员”，而不是 Office 365 和 Azure 管理员（或至少具有该功能。...攻击者可以破坏 Office 365 全局管理员，切换此选项以成为 Azure IAM“用户访问管理员”，然后将任何帐户添加到订阅中的另一个 Azure IAM 角色，然后将选项切换回“否”和攻击者来自用户访问管理员...您必须运行 Azure CLI 命令来检查 Azure 中的角色组成员身份。当我通过 Azure AD 到 Azure 访问提升时，我试图确定一个我可以发出警报但无法发出警报的明确事件。...虽然 PIM 需要 Azure AD Premium 2 (AAD P2)，但只有使用 PIM 的帐户才需要这些许可证，因此只有您的管理员帐户；并非所有 Azure AD 帐户。

3.9K1 0

你的电脑有人动过吗？Windows 和 Linux 系统登录记录查询指南

本文将为你详细介绍如何通过简单的操作，快速检查谁在何时、如何登录过你的电脑。 Windows 系统：如何查看登录记录？...查看失败的登录记录时，注意查看源网络地址，它可以帮助你定位来自哪里进行的攻击。如果是远程攻击，你会看到源 IP 地址；如果是本地尝试，可能会看到本地地址或空白。 4....高级技巧：查看特定用户的登录记录如果你想查看某个特定用户的登录历史，可以使用 last 命令并指定用户名： last username 这将显示该用户的所有登录历史记录。...注意事项无论是 Windows 还是 Linux 系统，查看登录记录通常需要管理员权限。如果你没有足够的权限，请确保以管理员身份运行相关工具。...因此，建议定期备份日志文件，并根据需要调整日志文件的大小限制。 Windows：右键点击安全日志 -> 属性，可以修改日志大小限制。

1.3K1 0

Autodiscover漏洞分析

在某些情况下，还需要其他设置（LDAP设置、WebDAV日历等）。...用户向Outlook添加新的Microsoft Exchange帐户，用户需要输入用户名和密码：用户填写详细信息后，Outlook将尝试使用Autodiscover来配置客户端。...研究人员收到大量来自不同域、IP地址和客户端的请求。嗅探到的数据中请求了/Autodiscover/Autodiscover.xml的相对路径，头部填充了凭据。.../Autodiscover.xml – 80 – \HTTP/1.1 Microsoft+Office/16.0+(Windows+NT+10.0;+Microsoft+Outlook+16.0.13901...客户端在收到服务器的HTTP 401响应后成功降级并发送认证信息：当受害者被重定向到研究人员的服务器时，会弹出一个安全警报：虽然证书有效，但它是自签名的，但是部署实际的SSL证书，可以轻松避免这种情况

2.7K2 0

钓鱼钓鱼是攻击计算机的最常用的技术

研究人员在分析了数十亿次攻击后警告说，Microsoft Office宏，PowerShell等仍在通过网络钓鱼电子邮件分发攻击的网络罪犯中很受欢迎。...网络钓鱼电子邮件是大多数网络入侵的第一步，网络犯罪分子使用心理技巧诱使潜在受害者打开并与恶意消息进行交互。...这些可能包括创建声称来自知名品牌的电子邮件，虚假发票，甚至声称来自老板的邮件。...宏是Microsoft Office的一项功能，允许用户启用自动命令来帮助运行任务。但是，该功能也被网络罪犯滥用。...这些活动中的许多活动将通过声称需要使用功能来查看Microsoft Word或Microsoft Excel附件，使用社会工程学来鼓励受害者启用宏。

1.2K2 0

ASRC 2021 年第二季度电子邮件安全观察

许多地区开始解封，世界开始流动，就在此时，变种病毒对疫苗的抗性产生了变化，让原本开始解封的地区又拉起警报，第二季充满了希望与骤变，信息安全也在时刻角逐，是否也能及时防护与应对呢？...第二季整体垃圾邮件量相较上一季增加 50%，带有 Office 恶意文件的攻击邮件则较上一季增加 3.5 倍，脱机钓鱼的数量成长了 2.4 倍；针对 Microsoft Office 漏洞利用则以 CVE201711882...备份)、.wiz (Microsoft Wizard File)、.dot (Microsoft Word 范本)、.doc，虽然有些类型的文档不常见，但只要计算机安装 Microsoft Office...由于部分自动程序或操作习惯的缘故，会出现一个档案看似有两个扩展名，而计算机对于这种档案的判读是以最后一个扩展名为主。以下整理出需要特别留意的双重扩展名： ?...编码文件进行译码，可看到完整的攻击程序总结综合上述样本的攻击来看，使用不易侦测的手法来躲避触发安全警报是攻击者的趋势，但我们从这些样本也发现，由于过度的迂回，及使用模糊的合法服务，这些都会与企业一般的沟通互动行为相违背

7244 0

微软公司又发布 Microsoft MSDT 远程代码执行漏洞

Microsoft Office 是由 Microsoft( 微软 ) 公司开发的一套办公软件套装。常用组件有 Word、Excel 、PowerPoint等。...该漏洞已知触发需要用户对恶意 Office文档进行直接访问，该漏洞在宏被禁用的情况下仍能通过 Microsoft Support Diagnostics Tool (MSDT) 功能执行代码。...Microsoft Defender 在 1.367.719.0 及以上版本支持此漏洞的检测和防护，Microsoft Defender for Endpoint 已为用户提供检测和警报； Microsoft365Defender...门户中的以下警报标题可以提示网络上的威胁活动：Office 应用程序的可疑行为、Msdt.exe 的可疑行为。...如果在您的环境中使用 Microsoft Defender 的 Attack Surface Reduction(ASR) 规则，则在 Block 模式下激活“阻止所有 Office 应用程序创建子进程

8703 0

使用连接器接收Azure Devops的通知

什么是连接器连接器（connector）是Teams中频道的一个接受消息的功能，官方的解释如下：连接器允许用户订阅来自 web 服务的接收通知和消息。...为什么要用连接器接受来自Azure Devops的消息？因为微软提供了就试试看，结果用起来感觉不错，统一在Teams中接收消息也很方便美观，还可以直接在通知下面进行交流。 ?...使用前提是要拥有Office 365的帐号，配置好连接器后Azure Devops可以将项目里发生的消息推送给Teams，例如：工作项更新拉取请求代码提交生成发布部署和批准在使用连接器以前我一值用邮箱接收...这样一个连接器就建立好了，接下来只需要使用刚刚复制的Webhook URL向这个连接器发布消息。 4....在打开的窗口里选择要订阅的服务，好像“Microsoft Teams”和“Office 365”是一样的，我就选了Teams那个。 ?

2.2K1 0

Windows系统怎样控制某个服务延迟启动Automatic(Delayed Start)的时间

Further-delay-Automatic-Delayed-Start-of-Services-to-prevent/ta-p/1717094 有的说AutoStartDelay单位是秒，比如： https://social.technet.microsoft.com...像下图这种是错误的比如设置240秒延迟，需要按240000毫秒赋值，应该这样操作： AutoStartDelay value in HKLM\SYSTEM\CurrentControlSet\Control...，执行如下powershell命令查看系统启动时间 13代表关机 6006代表系统日志停止记录 12代表开机 6005代表系统日志开始记录 powershell命令行执行如下代码查看系统启动时间： Get-WinEvent...3 -max delayexec.exe "C:\Windows\System32\notepad.exe" 3 -min Example: delay.exe "C:\Program Files\Microsoft...Office\Office\OUTLOOK.EXE" 60 -max The example above would delay 60 seconds before launching Outlook

5.4K2 0

企业级品牌钓鱼攻击的演化机制与防御体系构建——以Microsoft仿冒为典型案例

由于企业用户频繁收到来自外部协作者的共享请求，此类邮件天然具备高可信度。发票与账单欺诈：以“Microsoft Azure账单逾期”或“订阅即将终止”为由，诱导用户点击“查看详情”链接。...安全警报伪造：模拟Microsoft Defender for Office 365的安全通知，声称“检测到非常规登录”或“存储空间即将耗尽”，利用用户对安全事件的焦虑心理促使其快速操作。...）监控近期注册的含“microsoft”“office365”等关键词的域名。...4.2 强化邮件身份认证部署完整的邮件身份验证协议栈是基础防线：SPF：限制合法发件IP；DKIM：对邮件头签名，防止篡改；DMARC：指定未通过验证邮件的处理策略（quarantine/reject）...未来工作将聚焦于基于行为分析的实时钓鱼页面识别，以及跨品牌仿冒模式的迁移学习检测。无论如何，唯有将技术控制与组织策略深度融合，方能在品牌钓鱼的攻防博弈中占据先机。

2471 0

“你的邮件被隔离了！”——新型钓鱼邮件正伪装成垃圾过滤器警报，精准收割企业账号

这种攻击之所以危险，在于它精准击中了现代办公场景中的一个“信任盲区”——员工每天都会收到来自内部安全系统的各类通知，包括防病毒扫描、邮件隔离、合规提醒等。...当一封看似来自公司IT部门的“Spam Filter Alert”出现在收件箱时，很少有人会怀疑其真实性。更令人担忧的是，此类钓鱼邮件已成功绕过多家企业的邮件网关和终端防护系统。...乍看之下，这与企业常用的Proofpoint、Mimecast或Microsoft Defender for Office 365的隔离通知几乎无异。...邮件中列出的消息标题也经过精心设计——均为高频业务关键词，极易触发收件人的紧迫感。“攻击者不再试图‘吓唬’你，而是‘帮助’你。”...攻击者发送伪装成“IT安全通知”的邮件，声称“有3封来自医保局的邮件被隔离”。多名医护人员点击后，账号被盗。

2811 0

包子解读微软收购Linkedin

今天早上6点，不想起床的小编朦朦胧胧起床，随便刷一手微信，突然发现某朋友分享了一条题目无比夸张的重磅消息：微软以262亿美元的价格收购Linkedin!...刚看到这个消息的那一刻，小编的内心是一个大写的Excuse Me?????!!!!!! ? 小编赶紧开始搜索Microsoft和Linkedin官方对此次收购的评价。以试图看出一点端倪。...开个玩笑，其实Satya的扪心自问主要涉及的就是一个问题，Linkedin如何在全局上帮助Microsoft？...原来在Satya看来，Linkedin最能帮助到的是Office 365和Microsoft Dynamics(企业CRM)，提高Office 365的customer engagement(找工作人手必备...小编看完这四点就算有点理解Jeff的意思了。就在2016年2月，Linkedin财报不理想，股价几乎被腰斩，Jeff这四句看来来自华尔街的压力确实get to him了。

9924 0

电脑预装的Office 2019 家庭学生版如何免费激活

Office帐户的登录/注册步骤在开始激活预安装的 Office 2019 家庭和学生版之前，请确保你已具备有效的 Microsoft 帐户。...步骤 2 启动 Office 应用后，你将看到一个弹出窗口。单击“激活 Office”。（如果在隐私设置上方看到一条弹出消息，请单击“确定”）。步骤 3 然后，需要选择适当的选项。...步骤 8 在“文件”选项卡的“帐户”下，可看到你的 Office 已激活。如何处理Office激活过程中的某些错误？在激活预安装的 Office 2019 家庭和学生版时，你可能会遇到以下问题。...有关帐户错误的通知激活前需要更新 Office 有关帐户错误的通知步骤 1 如果在注册 Microsoft 帐户时未填写“姓氏”和“名字”字段，则在尝试激活 Office 时，右上角可能会显示帐户错误消息...步骤 2 单击右上角的帐户错误消息，你可通过在弹出窗口中填写“姓氏”和“名字”字段来解决此问题。激活前需要更新 Office 步骤 1 在右下角，你将看到“Office 更新可用”通知。

10.4K4 0

点击加载更多

Excel 旧用户正成为恶意软件的目标

Microsoft登顶钓鱼仿冒榜首，Roblox成青少年“数字陷阱”——2025年Q4全球品牌冒充攻击全景透视

Windows应急响应之命令行排查

11.反恶意软件扫描接口 (AMSI)

为SharePoint 2013配置Office Web Apps

用FullEventLogView分析日志

深入理解Windows中的Get-WinEvent命令

好物分享31-用教育或开发者账户白嫖onedrive并做你的同步盘

从 Azure AD 到 Active Directory（通过 Azure）——意外的攻击路径

你的电脑有人动过吗？Windows 和 Linux 系统登录记录查询指南

Autodiscover漏洞分析

钓鱼钓鱼是攻击计算机的最常用的技术

ASRC 2021 年第二季度电子邮件安全观察

微软公司又发布 Microsoft MSDT 远程代码执行漏洞

使用连接器接收Azure Devops的通知

Windows系统怎样控制某个服务延迟启动Automatic(Delayed Start)的时间

企业级品牌钓鱼攻击的演化机制与防御体系构建——以Microsoft仿冒为典型案例

“你的邮件被隔离了！”——新型钓鱼邮件正伪装成垃圾过滤器警报，精准收割企业账号

包子解读微软收购Linkedin

电脑预装的Office 2019 家庭学生版如何免费激活

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐