Windows löst die Netzwerk- und Internetadressen über DNS (Domain Name System) auf. Diese lassen sich mit Windows Zusatztools wie Sysinternals Sysmon protkollieren.
Dazu installiert man Sysmon und erstellt eine XML Datei, wie z.B. dnsquery.xml – in diese Datei kommt der folgende Inhalt:
<Sysmon schemaversion="4.21">
<EventFiltering>
<DnsQuery onmatch="exclude" />
</EventFiltering>
</Sysmon>Mit einer privilegierten Shell (CMD ausführen als Administrator) kann man mit den folgenden Befehl diese importieren:
sysmon -c dnsquery.xml
Nun kann man in der Ereignissanzeige unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > Sysmon > Operational diese Einträge kontrollieren.
Mit weiteren Tools wie Wazuh und MISP kann man dann diese Adressen zur Prüfung weiterleiten und kontrollieren und diese auswerten. Wenn man dies richtig eingerichtet hat, kann man dann bei Zugriffen auf Adressen welche für Malware usw. bekannt sind Alarme einrichten.
Weitere Informationen findet ihr hier:
