Windows Commands for SOC analysts

Systeminfo: Kompüterin aparat və proqram təminatı haqqında ətraflı məlumatı göstərir.

systeminfo

Whoami: Cari istifadəçini göstərir.

whoami

Sc query: Xidmətlər haqqında məlumat əldə edir.

sc query

Sc config: Xidmətin konfiqurasiya edərək başlanğıc növünü dəyişir.

sc config <service_name> start= <start_type>

Tasklist: Bütün işləyən prosesləri sadalayır.

tasklist

Taskkill: Çalışan prosesi dayandırır.

taskkill /F /PID (replace with the actual process ID)

Netstat: Aktiv şəbəkə bağlantılarını və dinləmə portlarını göstərir.

netstat -ano

Ipconfig: Bütün şəbəkə interfeysləri üçün IP konfiqurasiyasını göstərir.

ipconfig /all

Ping: Şəbəkə bağlantısını yoxlayır.

ping

Tracert: Paketlərin təyinat yerinə getdiyi marşrutu izləyir.

tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] [-R] [-S srcaddr] [-4] [-6] target_name

Seçenekler: -d Adresleri ana bilgisayar adlarına çözümlemeyin.
-h maksimum_hops Hedefi aramak için maksimum atlama sayısı.
-j ana bilgisayar listesi Ana bilgisayar listesi boyunca gevşek kaynak yolu (yalnızca IPv4).
-w timeout Her yanıt için zaman aşımı milisaniyesini bekleyin.
-R Gidiş-dönüş yolunu izle (yalnızca IPv6).
-S srcaddr Kullanılacak kaynak adresi (yalnızca IPv6).
-4 IPv4'ü kullanmaya zorlayın.
-6 IPv6'yı kullanmaya zorlayın.

Nslookup: Domen və ya IP ünvanı məlumatını əldə etmək üçün DNS sorğuları

nslookup

Net: Şəbəkə resurslarını idarə edir.

net user, net group, net share

Windows Defender Commands: Təriflərin yenilənməsi və ya skan edilməsi kimi müxtəlif tapşırıqlar üçün Windows Defender Komanda Xətti Utiliti.

MpCmdRun.exe, MpCmdRun.exe -SignatureUpdate, MpCmdRun.exe -Scan -ScanType 2

Windows Firewall Commands: Windows Firewall parametrlərini idarə edin.

netsh advfirewall show currentprofile, netsh advfirewall firewall show rule name=all

netsh advfirewall firewall add rule name="Rule Name" dir=in action=allow program="Path to Program" enable=yes

GPUpdate: Qrup Siyasəti parametrlərini dərhal yeniləməyə məcbur edir.

gpupdate /force

Task Scheduler: Tapşırıqların icrasını avtomatlaşdırın.

schtasks

Cipher: NTFS bölmələrində qovluqların şifrələnməsini göstərir və ya dəyişdirir.

cipher /status

Get-Process (PowerShell): Kompüterdə işləyən proseslər haqqında məlumat alır.

Get-Process

Get-Service (PowerShell): Kompüterdəki xidmətlərin statusunu alır.

Get-Service

Get-EventLog (PowerShell): Event logdan loglar əldə edir.

Get-EventLog -LogName

Get-HotFix (PowerShell): Quraşdırılmış düzəlişlər haqqında məlumatı alır.

Get-HotFix

Get-WmiObject (PowerShell): Local and remote computerdən idarəetmə məlumatlarını alır..

Get-WmiObject -Class

Set-ExecutionPolicy (PowerShell): PowerShell skript icra siyasəti üçün istifadəçi üstünlüklərini təyin edir.

Set-ExecutionPolicy -ExecutionPolicy (Restricted,Allsigned,Bybass)

wevtutil: Event loglari command linenan idare edir.

wevtutil qe

Auditpol: Audit siyasətlərini konfiqurasiya edir.

auditpol /get /category:*

GPResult: İstifadəçi və ya kompüter üçün Nəticə Siyasət Dəstini (RSoP) göstərir.

gpresult /r

Net User: İstifadəçi hesablarını idarə edir.

net user

Netsh: Şəbəkə interfeyslərini konfiqurasiya edir.

netsh interface show interface

PowerShell Remoting: PowerShell istifadə edərək sistemlərin uzaqdan idarə edilməsinə imkan verir.

Enter-PSSession -ComputerName

System File Checker (sfc): Zədələnmiş sistem fayllarını skan edir və təmir edir.

sfc /scannow

Get-NetConnectionProfile: Şəbəkə bağlantısı haqqında məlumatı göstərir.

Get-NetConnectionProfile

Get-NetTCPConnection (PowerShell): Aktiv TCP əlaqələri haqqında məlumat alır.

 Get-NetTCPConnection

Get-NetFirewallRule (PowerShell): Firewall qaydaları haqqında məlumat alır.

Get-NetFirewallRule

Active Directory Məlumatı (müvafiq icazələr tələb olunur):

dsquery user

ARP Table:

arp -a

DNS Cache:

ipconfig /displaydns

Traceroute:

tracert <target>

Firewall Status:

netsh advfirewall show allprofiles

Windows Defender statusunu yoxlayın:

bashCopy codeGet-MpComputerStatus

Windows Təhlükəsizlik Mərkəzinin Vəziyyəti:

bashCopy codewscui.cpl

Quraşdırılmış Təhlükəsizlik Güncəlləmələrinin siyahısı:

bashCopy codewmic qfe list

Çalışan Xidmətləri yoxlayın:

bashCopy codesc query

Windows Defender ATP (Advanced Threat Protection) Vəziyyəti:

bashCopy codeGet-MpPreference

PowerShell Skript Blokunun Qeydiyyatını yoxlayın:

bashCopy codeGet-ItemProperty -Path 'HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\policies\Windows\Script' -Name 'EnableScriptBlockLogging'

Windows Hadisə Yönləndirmə Vəziyyəti:

bashCopy codewevtutil get-forwardedevents

Disk Təmizləmə:

bashKodu kopyalayıncleanmgr

Disk Utility yoxlayın (inzibati imtiyazlar tələb olunur):

bashKodu kopyalayınchkdsk

Son yükləmə vaxtını yoxlayın:

bashKodu kopyalayınsysteminfo | find "System Boot Time"