Windows Commands for SOC analysts
Systeminfo: Kompüterin aparat və proqram təminatı haqqında ətraflı məlumatı göstərir.
systeminfo
Whoami: Cari istifadəçini göstərir.
whoami
Sc query: Xidmətlər haqqında məlumat əldə edir.
sc query
Sc config: Xidmətin konfiqurasiya edərək başlanğıc növünü dəyişir.
sc config <service_name> start= <start_type>
Tasklist: Bütün işləyən prosesləri sadalayır.
tasklist
Taskkill: Çalışan prosesi dayandırır.
taskkill /F /PID (replace with the actual process ID)
Netstat: Aktiv şəbəkə bağlantılarını və dinləmə portlarını göstərir.
netstat -ano
Ipconfig: Bütün şəbəkə interfeysləri üçün IP konfiqurasiyasını göstərir.
ipconfig /all
Ping: Şəbəkə bağlantısını yoxlayır.
ping
Tracert: Paketlərin təyinat yerinə getdiyi marşrutu izləyir.
tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] [-R] [-S srcaddr] [-4] [-6] target_name
Seçenekler: -d Adresleri ana bilgisayar adlarına çözümlemeyin.
-h maksimum_hops Hedefi aramak için maksimum atlama sayısı.
-j ana bilgisayar listesi Ana bilgisayar listesi boyunca gevşek kaynak yolu (yalnızca IPv4).
-w timeout Her yanıt için zaman aşımı milisaniyesini bekleyin.
-R Gidiş-dönüş yolunu izle (yalnızca IPv6).
-S srcaddr Kullanılacak kaynak adresi (yalnızca IPv6).
-4 IPv4'ü kullanmaya zorlayın.
-6 IPv6'yı kullanmaya zorlayın.
Nslookup: Domen və ya IP ünvanı məlumatını əldə etmək üçün DNS sorğuları
nslookup
Net: Şəbəkə resurslarını idarə edir.
net user, net group, net share
Windows Defender Commands: Təriflərin yenilənməsi və ya skan edilməsi kimi müxtəlif tapşırıqlar üçün Windows Defender Komanda Xətti Utiliti.
MpCmdRun.exe, MpCmdRun.exe -SignatureUpdate, MpCmdRun.exe -Scan -ScanType 2
Windows Firewall Commands: Windows Firewall parametrlərini idarə edin.
netsh advfirewall show currentprofile, netsh advfirewall firewall show rule name=all
netsh advfirewall firewall add rule name="Rule Name" dir=in action=allow program="Path to Program" enable=yes
GPUpdate: Qrup Siyasəti parametrlərini dərhal yeniləməyə məcbur edir.
gpupdate /force
Task Scheduler: Tapşırıqların icrasını avtomatlaşdırın.
schtasks
Cipher: NTFS bölmələrində qovluqların şifrələnməsini göstərir və ya dəyişdirir.
cipher /status
Get-Process (PowerShell): Kompüterdə işləyən proseslər haqqında məlumat alır.
Get-Process
Get-Service (PowerShell): Kompüterdəki xidmətlərin statusunu alır.
Get-Service
Get-EventLog (PowerShell): Event logdan loglar əldə edir.
Get-EventLog -LogName
Get-HotFix (PowerShell): Quraşdırılmış düzəlişlər haqqında məlumatı alır.
Get-HotFix
Get-WmiObject (PowerShell): Local and remote computerdən idarəetmə məlumatlarını alır..
Get-WmiObject -Class
Set-ExecutionPolicy (PowerShell): PowerShell skript icra siyasəti üçün istifadəçi üstünlüklərini təyin edir.
Set-ExecutionPolicy -ExecutionPolicy (Restricted,Allsigned,Bybass)
wevtutil: Event loglari command linenan idare edir.
wevtutil qe
Auditpol: Audit siyasətlərini konfiqurasiya edir.
auditpol /get /category:*
GPResult: İstifadəçi və ya kompüter üçün Nəticə Siyasət Dəstini (RSoP) göstərir.
gpresult /r
Net User: İstifadəçi hesablarını idarə edir.
net user
Netsh: Şəbəkə interfeyslərini konfiqurasiya edir.
netsh interface show interface
PowerShell Remoting: PowerShell istifadə edərək sistemlərin uzaqdan idarə edilməsinə imkan verir.
Enter-PSSession -ComputerName
System File Checker (sfc): Zədələnmiş sistem fayllarını skan edir və təmir edir.
sfc /scannow
Get-NetConnectionProfile: Şəbəkə bağlantısı haqqında məlumatı göstərir.
Get-NetConnectionProfile
Get-NetTCPConnection (PowerShell): Aktiv TCP əlaqələri haqqında məlumat alır.
Get-NetTCPConnection
Get-NetFirewallRule (PowerShell): Firewall qaydaları haqqında məlumat alır.
Get-NetFirewallRule
Active Directory Məlumatı (müvafiq icazələr tələb olunur):
dsquery user
ARP Table:
arp -a
DNS Cache:
ipconfig /displaydns
Traceroute:
tracert <target>
Firewall Status:
netsh advfirewall show allprofiles
Windows Defender statusunu yoxlayın:
bashCopy codeGet-MpComputerStatus
Windows Təhlükəsizlik Mərkəzinin Vəziyyəti:
bashCopy codewscui.cpl
Quraşdırılmış Təhlükəsizlik Güncəlləmələrinin siyahısı:
bashCopy codewmic qfe list
Çalışan Xidmətləri yoxlayın:
bashCopy codesc query
Windows Defender ATP (Advanced Threat Protection) Vəziyyəti:
bashCopy codeGet-MpPreference
PowerShell Skript Blokunun Qeydiyyatını yoxlayın:
bashCopy codeGet-ItemProperty -Path 'HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\policies\Windows\Script' -Name 'EnableScriptBlockLogging'
Windows Hadisə Yönləndirmə Vəziyyəti:
bashCopy codewevtutil get-forwardedevents
Disk Təmizləmə:
bashKodu kopyalayıncleanmgr
Disk Utility yoxlayın (inzibati imtiyazlar tələb olunur):
bashKodu kopyalayınchkdsk
Son yükləmə vaxtını yoxlayın:
bashKodu kopyalayınsysteminfo | find "System Boot Time"
Last updated
Was this helpful?