PsLoggedOn দিয়ে ব্যবহারকারীর কার্যকলাপ দেখার নির্দেশিকা

আপনার উইন্ডোজ কম্পিউটারে কে আছে তার হিসাব রাখা কেবল কৌতূহলের বিষয় নয়; এটি নিরাপত্তা এবং নিরীক্ষণের একটি মূল উপাদান। PsLoggedOn এবং কিছু নেটিভ এবং Sysinternals ইউটিলিটি সহ, আপনি স্থানীয় সেশন, ভাগ করা রিসোর্সের মাধ্যমে সংযোগ সনাক্ত করতে পারেন, এবং এমনকি সন্দেহজনক অ্যাক্সেসও যথেষ্ট নির্ভুলতার সাথে ট্র্যাক করতে পারেন।

ভালো খবর হল, শুরু করার জন্য আপনাকে ফরেনসিক ল্যাব স্থাপন করার দরকার নেই। আপনার শুধু PsLoggedOn কীভাবে কাজ করে তা জানতে হবে, এর ফলাফল ব্যাখ্যা করতে হবে (সাধারণ CPI$ সহ) এবং ব্যবহারকারীর কার্যকলাপের একটি বিশ্বস্ত মানচিত্র তৈরি করতে নেট সেশন, কুইজার, এনবিটিস্ট্যাট এবং ইভেন্ট ভিউয়ারের মতো কমান্ডগুলির সাথে পরিপূরক।

PsLoggedOn কী এবং এটি কীভাবে কাজ করে?

PsLoggedOn হল Sysinternals PsTools স্যুটের অংশ এবং এটি ব্যবহারকারীদের স্থানীয় বা দূরবর্তী কম্পিউটারে শেয়ার করা রিসোর্সের মাধ্যমে একটি সক্রিয় স্থানীয় সেশন এবং ইনকামিং সংযোগ প্রদর্শন করে। তাদের কৌশল হল উইন্ডোজ রেজিস্ট্রি (স্থানীয় সেশনের জন্য) এবং NetSessionEnum API (SMB এর মাধ্যমে সেশনের জন্য) একত্রিত করা। আপনাকে একটি দ্রুত এবং নির্ভরযোগ্য ছবি দিতে।

স্থানীয় সেশন নির্ধারণের জন্য, PsLoggedOn রেজিস্ট্রিতে লোড করা প্রোফাইল সহ ব্যক্তিকে "সংযুক্ত" বলে বিবেচনা করে। ব্যবহারকারীর SID-এর জন্য HKEY_USERS স্ক্যান করে এবং প্রতিটি SID তার অ্যাকাউন্টে সমাধান করে। আপনাকে রেজিস্ট্রিতে ম্যানুয়ালি খনন না করেই মানুষের পঠনযোগ্য নামগুলি দেখানোর জন্য।

রিসোর্স-শেয়ার্ড সেশনের জন্য (যেমন, ADMIN$, C$, অথবা IPC$), এটি সক্রিয় সংযোগ তালিকাভুক্ত করার জন্য NetSessionEnum-এর উপর নির্ভর করে। এই বিষয়ে সতর্ক থাকুন: যদি আপনি একটি দূরবর্তী কম্পিউটার ব্যবহার করেন, তাহলে আপনার নিজের অ্যাকাউন্ট তালিকাভুক্ত দেখা যাওয়া স্বাভাবিক। একটি রিসোর্স দ্বারা সংযুক্ত, কারণ এর রেকর্ড পড়ার জন্য প্রমাণীকরণ প্রয়োজন।

উপরন্তু, PsLoggedOn কম্পিউটারের পরিবর্তে একটি ব্যবহারকারীর নাম পাস করা সমর্থন করে। এই মোডে, এটি নেটওয়ার্ক পরিবেশে কম্পিউটার স্ক্যান করে আপনাকে জানায় যে ব্যবহারকারী কোথায় সংযুক্ত।, যখন আপনি প্রোফাইল সেটিংস পরিবর্তন করতে যাচ্ছেন এবং নিশ্চিত করতে চান যে কেউ এটি ব্যবহার করছে না, তখন এটি কার্যকর।

সামঞ্জস্যের দিক থেকে, বাইনারিটি উইন্ডোজ ভিস্তার ক্লায়েন্ট এবং উইন্ডোজ সার্ভার ২০০৮ এর সার্ভারে কাজ করে। বহুল প্রচারিত সংস্করণটি হল v1.35, সর্বশেষ আপডেট হয়েছে ২০১৬ সালে।, এবং সহায়তা এবং নিরীক্ষার পরিস্থিতিতে নির্ভরযোগ্য পরিষেবা প্রদান অব্যাহত রেখেছে।

ইনস্টলেশন, প্রয়োজনীয়তা এবং সিসেন্টার্নাল স্যুট

এটি ইনস্টল করা আপনার PATH-এর কোনও পাথে এক্সিকিউটেবল কপি করে চালানোর মতোই সহজ। আপনার PATH-এর অন্তর্ভুক্ত একটি ফোল্ডারে psloggedon.exe (এবং উপযুক্ত হলে psloggedon64.exe) রাখুন। অথবা কোনও আনুষ্ঠানিকতা ছাড়াই PsTools ফোল্ডার থেকে এটি চালান।

আপনি যদি সম্পূর্ণ Sysinternals স্যুটটি ইনস্টল করতে চান, তাহলে আপনি এটি একটি প্যাকেজ হিসাবে ডাউনলোড করতে পারেন এবং যেখানে খুশি সেখানে এটি এক্সট্র্যাক্ট করতে পারেন। কমান্ডের সাহায্যে এটি দ্রুত ইনস্টল করার জন্য উইঞ্জেট ব্যবহার করাও সম্ভব।:

winget install sysinternals --accept-package-agreements

PsLoggedOn PsTools-এর মধ্যে PsInfo, PsFile, PsLogList, LogonSessions, Process Explorer বা Process Monitor-এর মতো ইউটিলিটিগুলির সাথে আসে। সেটটির আকার প্রায় কয়েক মেগাবাইট (ক্লাসিক ডাউনলোডে প্রায় ২.৭ মেগাবাইট) এবং শুরু থেকে শেষ পর্যন্ত দূরবর্তী প্রশাসন কভার করে।.

ব্যবহার, বাক্য গঠন এবং ব্যবহারিক উদাহরণ

বাক্য গঠনটি সংক্ষিপ্ত এবং সরাসরি: কয়েকটি মডিফায়ারের সাহায্যে আপনি প্রায় সকল ক্ষেত্রেইসাহায্যটি উপলব্ধ বিকল্পগুলি এবং আউটপুট ফর্ম্যাট দেখায়।

psloggedon [-] [-l] [-x] [\\computername | username]

প্রধান পরামিতি: - সাহায্য প্রিন্ট করে, -l স্থানীয় সেশনের সীমাবদ্ধতা (রিসোর্স সংযোগ উপেক্ষা করে) এবং -x লগইন সময় লুকিয়ে রাখে। আপনি একটি দূরবর্তী কম্পিউটারের UNC পাথ (\\কম্পিউটার) অথবা একটি ব্যবহারকারীর নাম দিয়ে নির্দিষ্ট করতে পারেন যাতে ব্যবহারকারী কোথায় লগ ইন করেছেন তা খুঁজে পেতে পারেন।

# Listar en el equipo local
psloggedon

# Consultar un equipo remoto
psloggedon \\EQUIPO-REMOTO

# Buscar en qué equipos tiene sesión un usuario
psloggedon usuario.dominio

মনে রাখবেন: অন্য দলের সাথে পরামর্শ করার সময়, আপনার অ্যাকাউন্টটি কোনও রিসোর্সের মাধ্যমে সংযুক্ত বলে মনে হওয়া স্বাভাবিক। যেহেতু PsLoggedOn কে আপনার লগ পড়ার জন্য প্রমাণীকরণ করতে হবে। যদি আপনি কেবল স্থানীয় সেশনের একটি স্ন্যাপশট চান, তাহলে সেই শব্দ ফিল্টার করতে -l ব্যবহার করুন।

ফলাফল ব্যাখ্যা: CPI$, টিম অ্যাকাউন্ট এবং বাস্তব জীবনের ঘটনা

IPC$ রিসোর্সে কম্পিউটার অ্যাকাউন্ট সংযোগ ("$" দিয়ে শেষ) দেখা যায়। "ব্যবহারকারীরা রিসোর্সের মাধ্যমে সংযুক্ত" বিভাগে DOMAIN\\COMPUTER-A$ এর মতো এন্ট্রি দেখা গেলে স্বয়ংক্রিয়ভাবে কোনও সমস্যা দেখা দেয় না। এবং, প্রকৃতপক্ষে, এটি সাধারণত বৈধ উইন্ডোজ কার্যকলাপ বা ব্যবস্থাপনা সরঞ্জামগুলির কারণে হয়।

IPC$ রিসোর্সটি সার্ভার পরিষেবা দ্বারা নামযুক্ত পাইপের জন্য সরবরাহ করা হয়, যা সিস্টেম উপাদান এবং ইনস্টল করা অ্যাপ্লিকেশন/পরিষেবা দ্বারা ব্যবহৃত হয়। যদিও এটি কখনও কখনও "নাল সেশন" এর সাথে যুক্ত থাকে, তবে এর আসল অ্যাক্সেস প্রতিটি পাইপের নিরাপত্তা দ্বারা নির্ধারিত হয়।, শুধুমাত্র অনুমোদিত পরিচয়পত্রের জন্য প্রবেশাধিকার প্রদান করে। হ্যাঁ, IPC$ Windows 10 Pro তেও বিদ্যমান, এবং এটি শুধুমাত্র Windows Server এর জন্য নয়।

একটি সাধারণ উদাহরণ হল এমন একটি স্ক্রিপ্ট চালানো যা পর্যায়ক্রমে psloggedon এবং psloggedon64 কল করে যখন কেউ অপ্রত্যাশিতভাবে সংযোগ করে তখন আপনাকে সতর্ক করে। শান্ত দিনে, আপনি আপনার স্থানীয় অ্যাকাউন্ট দেখতে পাবেন; কখনও কখনও এটি A-COMPUTER$ বা B-COMPUTER$ হিসাবে প্রদর্শিত হয়। IPC$ এর মাধ্যমে সংযোগ স্থাপন করা। অনেক পরিবেশে, এটি ইনভেন্টরি, অ্যান্টিভাইরাস/EDR, রিমোট অ্যাডমিনিস্ট্রেশন, অথবা সাধারণ নেটওয়ার্ক স্ক্যানের সাথে খাপ খায়।

স্বাভাবিক কার্যকলাপকে অস্বাভাবিক থেকে কীভাবে আলাদা করা যায়? এই পরীক্ষাগুলি আপনাকে মূল বিষয়ে বুঝতে সাহায্য করবে। ধারণাটি হল সেশনটিকে একটি স্বীকৃত প্রক্রিয়া, কাজ বা পরিষেবার সাথে সংযুক্ত করা।:

• কম্পিউটার ব্যবস্থাপনা > শেয়ার্ড ফোল্ডার > সেশন এবং ফাইল খুলুন: কারা অনলাইনে আছেন এবং তারা কোন রিসোর্স ব্যবহার করছেন তা দেখুন.
• নেট সেশন কমান্ড: রিসোর্স, কম্পিউটার এবং ব্যবহারকারী অনুসারে সক্রিয় সংযোগগুলি তালিকাভুক্ত করে কনসোল থেকে দ্রুত শট নিয়ে।
• ইভেন্ট ভিউয়ার: সিকিউরিটির অধীনে আইডি ৪৬২৪ ​​ফিল্টার করুন এবং স্টার্টআপ টাইপটি পরীক্ষা করুন (যেমন, নেটওয়ার্কের জন্য ৩), উৎপত্তি এবং অ্যাকাউন্ট ছাড়াও।
• নিরীক্ষা নীতি: লগইন অডিটিং সক্ষম করে (সাফল্য এবং ভুল) gpedit.msc-তে সুতরাং আপনি কিছু মিস করবেন না।
• কাজ এবং পরিষেবা: টাস্ক শিডিউলার, WMI, ইনভেন্টরি, অ্যান্টিভাইরাস/EDR এবং ডিপ্লয়মেন্ট টুল পরীক্ষা করুন যাতে তারা সেশন খুলতে পারে।

যদি আপনি লক্ষ্য করেন যে এটি সর্বদা একই দল এবং স্বাভাবিক সময়ে, তাহলে সম্ভবত এটি প্রত্যাশিত আচরণ। যদি সংযোগগুলি ঘন্টার বাইরে, অজানা উৎস থেকে বা অদ্ভুত প্যাটার্ন সহ প্রদর্শিত হয়, তাহলে রেকর্ডের সাথে আলগা প্রান্ত বেঁধে দেওয়া, অ্যাক্সেস সীমাবদ্ধ করা এবং উপযুক্ত হলে সতর্কতা জারি করা যুক্তিযুক্ত।

কে লগ ইন আছে তা দেখার জন্য বিকল্প স্থানীয় পদ্ধতি

PsLoggedOn ছাড়াও, উইন্ডোজ এটি তথ্য ক্রস-রেফারেন্স এবং প্রসঙ্গ অর্জনের জন্য বেশ কয়েকটি বিকল্প নিয়ে আসে। এগুলো একত্রিত করলে মিথ্যা ইতিবাচকতা হ্রাস পাবে এবং কেবল কে নয়, কীভাবে তাও আপনাকে জানাবে। সংযুক্ত করা হয়েছে।

QUSER / QUERY USER (কনসোল বা পাওয়ারশেল)। এই কমান্ডগুলি রিমোট ডেস্কটপ/টার্মিনাল সেশনের তালিকা তৈরি করে। RDS সহ সার্ভারগুলিতে এবং RDP গ্রহণকারী কম্পিউটারগুলিতেও কার্যকর।, RDP-তে ব্যবহারকারীর সেশনের একটি দ্রুত স্ন্যাপশট দিন।

quser /server:EQUIPO-REMOTO
query user /server:EQUIPO-REMOTO

পাওয়ারশেল (Get-CimInstance)। স্থানীয় ইন্টারেক্টিভ সেশন খুঁজে পেতে, আপনি Win32_ComputerSystem ক্লাসটি দেখতে পারেন। ব্যবহারকারীর নাম ক্ষেত্রটি কনসোলে লগ ইন করা ব্যবহারকারীকে ফেরত পাঠায়।, যদিও কিছু RDP পরিস্থিতিতে এটি খালি রাখা যেতে পারে।

Get-CimInstance -ClassName Win32_ComputerSystem -ComputerName EQUIPO | Select -ExpandProperty username

NBTSTAT। একটু পুরনো হাতিয়ার, কিন্তু এটি এখনও NetBIOS সূত্র প্রদান করতে পারে। এটি নামের তালিকা দেখার জন্য ভালো, সক্রিয় ব্যবহারকারীদের সঠিকভাবে সনাক্ত করার জন্য নয়। যদি তারা ভাগ করা সম্পদ স্পর্শ না করে থাকে।

nbtstat -a EQUIPO
nbtstat -A 192.0.2.25

টাস্ক ম্যানেজার। ব্যবহারকারী ট্যাবে, আপনি স্থানীয় কম্পিউটারে সক্রিয় সেশনগুলি দেখতে পাবেন, যার মধ্যে দূরবর্তী সেশনগুলিও রয়েছে। এটি সর্বদা অ্যাক্সেসের ধরণ স্পষ্টভাবে আলাদা করে না, কিন্তু এটি দ্রুত চেকের জন্য কার্যকর।

রিমোট ডেস্কটপ সার্ভিসেস ম্যানেজার (উইন্ডোজ সার্ভার)। MMC-তে স্ন্যাপ-ইন যোগ করে, আপনি বিস্তারিত ব্যবহারকারী এবং সেশন দেখতে পারবেন। এটি RDSH হোস্টের জন্য রেফারেন্স কনসোল এবং আপনাকে সেশন আইডি, স্ট্যাটাস এবং আরও অনেক কিছু দেয়।

ইভেন্ট ভিউয়ার এবং সিসেন্টার্নাল ইউটিলিটিসের সাহায্যে অডিটিং

প্রমাণ একত্রিত করার জন্য ইভেন্ট ভিউয়ার আপনার বন্ধু। উইন্ডোজ লগ > সিকিউরিটিতে যান এবং ৪৬২৪ ​​আইডি দিয়ে ফিল্টার করুন (স্টার্টআপ সফল); স্টার্টআপের ধরণ, অ্যাকাউন্ট, সোর্স কম্পিউটার এবং ঠিকানা পরীক্ষা করুন।

যদি আপনি এই ইভেন্টগুলি দেখতে না পান, তাহলে স্থানীয় অডিটিং চালু করুন। gpedit.msc-এ, এখানে যান: কম্পিউটার কনফিগারেশন > উইন্ডোজ সেটিংস > নিরাপত্তা সেটিংস > স্থানীয় নীতি > অডিট নীতি এবং "সাকসেস অ্যান্ড এরর" সহ "অডিট লগইন ইভেন্ট" সক্রিয় করুন।

PsLogList (Sysinternals) আপনাকে কনসোল থেকে স্থানীয় বা দূরবর্তী ইভেন্টগুলি ডাম্প এবং ফিল্টার করতে দেয়। দ্রুত 4624 বের করার জন্য, তারিখ দ্বারা সীমাবদ্ধ করার জন্য বা CSV তৈরি করার জন্য উপযুক্ত। GUI না খুলেই।

# Últimas 100 entradas del registro de Seguridad en un equipo remoto
psloglist \\EQUIPO -n 100 -l security

# Filtrar por origen o ID de evento
psloglist -o "Microsoft-Windows-Security-Auditing" -i 4624

# Salida compacta y separada por ;
psloglist -s -t ';' -l security

এর বিকল্পগুলির মধ্যে রয়েছে টাইম উইন্ডো (-h, -m, -d), তারিখের পরিসর (-a, -b), আইডি অন্তর্ভুক্তি/বর্জন (-i, -e), এবং স্থানীয় সিস্টেমে -w সহ রিয়েল-টাইম অপেক্ষা। সূত্রগুলিতে উল্লেখিত সংস্করণটি হল 2.81, ২০১৯ সালে আপডেট করা হয়েছে।

রিমোট কম্পিউটারে কোন ফাইলগুলি খোলা আছে এবং কার দ্বারা খোলা আছে তা জানার জন্য PsFile কার্যকর। এমনকি আপনি একটি হ্যান্ডেলের আইডি উল্লেখ করেও বন্ধ করতে পারেন। যদি আপনার একটি লক করা ফাইল রিলিজ করার প্রয়োজন হয়, তাহলে SMB সেশন কেন আছে তা ডিবাগ করার সময় আদর্শ।

LogonSessions (Sysinternals) সিস্টেমে সক্রিয় লগঅন সেশনগুলির তালিকা তৈরি করে। সেশন এবং তাদের টোকেনগুলিতে মনোযোগ দিয়ে PsLoggedOn-এর পরিপূরক।, স্থায়িত্ব বা উত্তরাধিকার অ্যাক্সেস তদন্তের জন্য দরকারী।

প্রসঙ্গ এবং পরিষ্কারের জন্য অন্যান্য প্রাসঙ্গিক Sysinternals ইউটিলিটি: Autoruns (স্বয়ংক্রিয় স্টার্টআপ), Process Explorer এবং Process Monitor (রিয়েল-টাইম প্রক্রিয়া এবং কার্যকলাপ), PsInfo (সিস্টেম ইনভেন্টরি), এবং RAMMap (বিস্তারিত মেমরি ব্যবহার)। সিসেন্টার্নালস ইকোসিস্টেম "কে" থেকে শুরু করে "কী করা হচ্ছে" পর্যন্ত সবকিছুই কভার করে।, যা ঘটনার ক্ষেত্রে সোনার।

স্ক্রিপ্ট এবং স্কেলে অটোমেশন

যখন আপনার OU বা সমগ্র ডোমেনের রিপোর্টের প্রয়োজন হয়, তখন স্ক্রিপ্টগুলিই সব পার্থক্য তৈরি করে। Get-UserLogon PowerShell মডিউল কম্পিউটার, OU, অথবা ডোমেইন দ্বারা লগইন সংগ্রহ করা সহজ করে তোলে। মুষ্টিমেয় কিছু কমান্ড সহ।

এটিকে মডিউল হিসেবে ব্যবহার করতে, স্ট্যান্ডার্ড মডিউল পাথে psm1 ফোল্ডার এবং ফাইল তৈরি করুন: এটি C:\Program Files\WindowsPowerShell\Modules\Get-UserLogon-এ রাখুন। এবং ব্যবহারের আগে এটি আমদানি করুন।

# Todo el dominio
Get-UserLogon -All

# Por OU
Get-UserLogon -OU 'ou=Computers,dc=midominio,dc=local'

# Equipo concreto
Get-UserLogon -Computer EQUIPO-AD01

আপনি যদি সরাসরি স্ক্রিপ্ট পদ্ধতি পছন্দ করেন, তাহলে পুরাতন টেকনেট স্ক্রিপ্ট গ্যালারিতে প্রকাশিত একটি বৈশিষ্ট্যও রয়েছে। উভয় ক্ষেত্রেই উদ্দেশ্য একই: "কে" এবং "কোথায়" দ্রুত এবং রপ্তানিযোগ্যভাবে তালিকাভুক্ত করা। নিরীক্ষা বা সহায়তার জন্য।

ঘটনার প্রতিক্রিয়া: উইন্ডোজে DFIR ট্রাইএজ

"কে" এর বাইরে গিয়ে দ্রুত ফরেনসিক অ্যাকাউন্ট তৈরি করতে, ডিফিরট্রিয়েজ দ্রুত প্রমাণ ডাম্প তৈরির জন্য ছোট ছোট সরঞ্জাম একত্রিত করে। এটি উইন্ডোজের জন্য ডিজাইন করা হয়েছে এবং সরাসরি লক্ষ্য কম্পিউটারে চালানো যেতে পারে। প্রশাসকের সুবিধাসহ

অন্তর্ভুক্ত ইউটিলিটিগুলির মধ্যে, BrowserHistoryView এবং LastActivityView সাম্প্রতিক ব্রাউজিং কার্যকলাপ এবং ব্যবহৃত ফাইলগুলির তালিকা করে। pslist এর সাহায্যে আপনি প্রক্রিয়াগুলি দেখতে পারবেন (টাস্ক ম্যানেজার থেকে লুকানো প্রক্রিয়াগুলি সহ), এবং tcpvcon দিয়ে আপনি প্রক্রিয়া অনুসারে সক্রিয় নেটওয়ার্ক সংযোগগুলি পরীক্ষা করতে পারেন।

একই সেটের মধ্যে আপনি Autoruns, PsLoggedOn, PsFile, PsInfo এবং PsLogList এর মতো Sysinternals এর টুকরো পাবেন। এটি আপনাকে SMB সেশন সনাক্ত করতে, ফাইল বন্ধ করতে, সিস্টেমের তালিকা তৈরি করতে এবং ইভেন্টগুলি বের করতে সহায়তা করে। কয়েক ডজন কনসোল না খুলেই।

এটি ব্যবহার করা সহজ: আনজিপ করুন, প্রশাসক হিসেবে dfirtriage.exe চালু করুন এবং এটিকে শিল্পকর্ম সংগ্রহ করতে দিন। ফলাফল পর্যালোচনা বা বিতরণের জন্য টেক্সট ফাইলে সংরক্ষণ করা হয়।, প্রথম পর্যায়ের প্রতিক্রিয়া ত্বরান্বিত করার লক্ষ্যে।

দূরবর্তী অ্যাক্সেসের জন্য ভালো নিরাপত্তা অনুশীলন

পর্যবেক্ষণ অত্যন্ত গুরুত্বপূর্ণ, কিন্তু আক্রমণের পৃষ্ঠ কমানো আরও বেশি গুরুত্বপূর্ণ। পাসওয়ার্ড শক্তিশালী করুন, শংসাপত্রগুলি ঘোরান এবং MFA কার্যকর করুন কেউ চাবি চুরি করলেও অননুমোদিত প্রবেশাধিকার বন্ধ করা।

ন্যূনতম সুযোগ-সুবিধা এবং অংশের নীতি প্রয়োগ করুন। শুধুমাত্র যেসব অ্যাকাউন্টের এটির প্রয়োজন, তাদেরই দূরবর্তী প্রশাসনের অনুমতি থাকা উচিত।, এবং যদি আপনি এটি সুনির্দিষ্ট এবং নিয়ন্ত্রিত গোষ্ঠীর মাধ্যমে করেন তবে আরও ভালো।

যতটা সম্ভব কম প্রশাসনিক পরিষেবা ইন্টারনেটে প্রকাশ করতে VPN ব্যবহার করুন। এনক্যাপসুলেশন এবং এনক্রিপশন শব্দ কমিয়ে দেয় এবং সুযোগসন্ধানী স্বীকৃতি রোধ করে। অনুপ্রবেশের প্রচেষ্টার দিকে পরিচালিত করে।

তত্ত্বাবধান এবং বাস্তবায়ন করে। অস্বাভাবিক কার্যকলাপের জন্য সতর্কতা সেট আপ করুন (সময়সূচী, উৎস, অ্যাকাউন্ট), আপনি যা পারেন (4624, 4625, ইত্যাদি) লগ করুন এবং আপস নির্দেশ করে এমন সূক্ষ্ম পরিবর্তনগুলির জন্য প্যাটার্নগুলি পর্যালোচনা করুন।

রিয়েল-টাইম অডিট সমাধান

যদি আপনার পরিবেশ ক্রমবর্ধমান হয় অথবা আপনার সম্মতির প্রয়োজন হয়, তাহলে একটি অডিট প্ল্যাটফর্ম বিবেচনা করলে আপনার সময় বাঁচাতে পারে। ManageEngine-এর ADAudit Plus-এর মতো টুলগুলি রিয়েল-টাইম অ্যাক্টিভ ডিরেক্টরি অডিটিং প্রদান করে। এবং ৩০ দিনের ট্রায়াল বিকল্পের মাধ্যমে লগঅন, পরিবর্তন এবং অ্যাক্সেস রিপোর্ট একত্রিত করুন।

PsLoggedOn এর মাধ্যমে আপনি স্থানীয় সেশন এবং রিসোর্স অনুসারে সংযোগগুলি তাৎক্ষণিকভাবে দেখতে পাবেন এবং net session, quser, NBTSTAT, Event Viewer, PsLogList, PsFile, LogonSessions এবং PowerShell মডিউলের মাধ্যমে আপনি কোনও ফাঁক না রেখেই ছবিটি সম্পূর্ণ করতে পারবেন। IPC$ এর ভূমিকা বোঝা, "$" দিয়ে সরঞ্জাম অ্যাকাউন্ট সনাক্ত করা এবং নিরীক্ষা সক্ষম করা একটি পার্থক্য তৈরি করে একটি মিথ্যা অ্যালার্ম এবং একটি বাস্তব ঘটনার মধ্যে, আপনাকে দ্রুত প্রতিক্রিয়া জানাতে গোলাবারুদও দেয়।