Die gebruikerswerkstasie is die mees kwesbare punt van die infrastruktuur in terme van inligtingsekuriteit. Gebruikers kan 'n brief aan hul werkpos ontvang wat blykbaar van 'n veilige bron af kom, maar met 'n skakel na 'n besmette werf. Miskien sal iemand 'n nut wat nuttig is vir werk van 'n onbekende plek aflaai. Ja, jy kan met meer as 'n dosyn gevalle vorendag kom van hoe wanware interne korporatiewe hulpbronne deur gebruikers kan infiltreer. Daarom vereis werkstasies meer aandag, en in hierdie artikel sal ons jou vertel waar en watter gebeure om te neem om aanvalle op te spoor.
Om 'n aanval op 'n vroeë stadium op te spoor, het Windows drie nuttige gebeurtenisbronne: die sekuriteitsgebeurtenislogboek, die stelselmoniteringlogboek en die Power Shell-logboeke.
Sekuriteitslogboek
Dit is die hoofbergplek vir stelselsekuriteitlogboeke. Dit sluit in gebeurtenisse van gebruikeraanmelding/uitmelding, toegang tot voorwerpe, beleidsveranderinge en ander sekuriteitsverwante aktiwiteite. Natuurlik, as die toepaslike beleid opgestel is.
Opsomming van gebruikers en groepe (gebeurtenisse 4798 en 4799). Wanware aan die begin van 'n aanval tel dikwels plaaslike gebruikersrekeninge en plaaslike groepe op 'n werkstasie op om geloofsbriewe vir sy donker dade te vind. Hierdie gebeurtenisse help om kwaadwillige kode op te spoor voordat dit aanbeweeg en gebruik die versamelde data om na ander stelsels te versprei.
Plaaslike rekeningskepping en veranderinge in plaaslike groepe (gebeurtenisse 4720, 4722-4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 en 5377). Die aanval kan ook begin, byvoorbeeld, deur 'n nuwe gebruiker by die plaaslike administrateursgroep te voeg.
Plaaslike aanmeldpogings (gebeurtenis 4624). Geagte gebruikers meld aan met 'n domeinrekening, en om 'n aanmelding onder 'n plaaslike rekening op te spoor, kan die begin van 'n aanval beteken. Gebeurtenis 4624 sluit ook domeinaanmeldings in, dus wanneer u gebeurtenisse hanteer, moet u gebeurtenisse uitfiltreer waar die domein verskil van die werkstasienaam.
'n Poging is aangewend om met die gespesifiseerde rekening aan te meld (gebeurtenis 4648). Dit gebeur wanneer die proses in "Run as" (hardloop as) af loop. In die normale werking van die stelsels behoort dit nie te gebeur nie, so sulke gebeure moet beheer word.
Werkstasie sluit/ontsluit (gebeurtenisse 4800-4803). Verdagte gebeurtenisse sluit enige aktiwiteit in wat op 'n geslote werkstasie plaasgevind het.
Firewall-konfigurasieveranderinge (gebeurtenisse 4944-4958). Natuurlik, wanneer nuwe sagteware geïnstalleer word, kan die firewall-konfigurasie-instellings verander, wat vals positiewes sal veroorsaak. In die meeste gevalle is dit nie nodig om sulke veranderinge te beheer nie, maar dit sal beslis nie oorbodig wees om daarvan te weet nie.
Koppel Plug'n'play-toestelle (gebeurtenis 6416 en slegs vir Windows 10). Dit is belangrik om tred te hou hiervan as gebruikers gewoonlik nie nuwe toestelle aan die werkstasie koppel nie, en dan het hulle dit skielik gedoen.
Windows bevat 9 ouditkategorieë en 50 subkategorieë vir fyninstelling. Die minimum stel subkategorieë wat in die instellings geaktiveer moet word:
Logon / Logoff
- Meld aan;
- afmeld;
- rekeninguitsluiting;
- Ander aan-/afmeldgeleenthede.
Account Bestuur
- Gebruikersrekeningbestuur;
- Sekuriteitsgroepbestuur.
Beleidsverandering
- Ouditbeleidsverandering;
- Verandering van stawingbeleid;
- Verandering van magtigingsbeleid.
Stelselmonitor (Sysmon)
Sysmon is 'n program wat in Windows ingebou is wat gebeure na die stelsellogboek kan skryf. Dit moet gewoonlik apart geïnstalleer word.
Hierdie selfde gebeure kan in beginsel in die sekuriteitslogboek gevind word (deur die toepaslike ouditbeleid te aktiveer), maar Sysmon gee meer besonderhede. Watter gebeure kan van Sysmon geneem word?
Prosesskepping (gebeurtenis-ID 1). Die stelselsekuriteitsgebeurtenislogboek kan jou ook vertel wanneer sommige *.exe geloods is en selfs sy naam en bekendstellingspad wys. Maar anders as Sysmon, sal dit nie die hash van die toepassing kan wys nie. Kwaadwillige sagteware kan selfs skadeloos notepad.exe genoem word, maar dit is die hash wat dit na skoon water sal bring.
Netwerkverbindings (gebeurtenis-ID 3). Natuurlik is daar baie netwerkverbindings, en jy kan nie tred hou met almal nie. Maar dit is belangrik om in gedagte te hou dat Sysmon, anders as dieselfde Sekuriteitslogboek, 'n netwerkverbinding aan die ProcessID- en ProcessGUID-velde kan bind, die poort- en IP-adresse van die bron en bestemming wys.
Veranderinge in die stelselregister (gebeurtenis-ID 12-14). Die maklikste manier om jouself by autorun te voeg, is om in die register te registreer. Die Sekuriteitslogboek kan dit doen, maar Sysmon wys wie die veranderinge gemaak het, wanneer, van waar, die proses-ID en die vorige waarde van die sleutel.
Lêerskepping (gebeurtenis-ID 11). Sysmon, anders as die sekuriteitslogboek, sal nie net die ligging van die lêer wys nie, maar ook die naam daarvan. Dit is duidelik dat jy nie alles kan dophou nie, maar jy kan ook sekere gidse oudit.
En wat nou nie in die sekuriteitslogbeleide is nie, maar in Sysmon is:
Verandering van lêerskeppingstyd (gebeurtenis-ID 2). Sommige wanware kan die skeppingsdatum van 'n lêer bedrieg om dit van onlangse lêerverslae weg te steek.
Laai drywers en dinamiese biblioteke (gebeurtenis-ID 6-7). Volg die laai van DLL's en toestelbestuurders in die geheue, kontroleer die digitale handtekening en die geldigheid daarvan.
Skep van 'n draad in 'n lopende proses (gebeurtenis ID 8). Een van die tipes aanvalle, wat ook gemonitor moet word.
RawAccessRead-geleenthede (gebeurtenis-ID 9). Skyf lees bewerkings met “.”. In die oorgrote meerderheid van gevalle moet sulke aktiwiteit as abnormaal beskou word.
Skep 'n benoemde lêerstroom (gebeurtenis-ID 15). Die gebeurtenis word geregistreer wanneer 'n benoemde lêerstroom geskep word wat gebeurtenisse genereer met 'n hash van die lêer se inhoud.
Skep benoemde pyp en verbinding (gebeurtenis-ID 17-18). Sporing van kwaadwillige kode wat met ander komponente kommunikeer deur 'n benoemde pyp.
WMI-aktiwiteit (gebeurtenis-ID 19). Registrasie van gebeure wat gegenereer word wanneer toegang tot die stelsel verkry word via die WMI-protokol.
Om Sysmon self te beskerm, moet jy gebeure monitor met ID 4 (stop en begin Sysmon) en ID 16 (verander Sysmon-konfigurasie).
Power Shell Logs
Power Shell is 'n kragtige Windows-infrastruktuurbestuurhulpmiddel, so die kans is groot dat 'n aanvaller dit sal kies. Daar is twee bronne wat jy kan gebruik om data oor Power Shell-gebeure te kry: Windows PowerShell-logboek en Microsoft-WindowsPowerShell / Operasionele logboek.
Windows PowerShell-logboek
Dataverskaffer gelaai (gebeurtenis-ID 600). PowerShell-verskaffers is programme wat dien as 'n databron vir PowerShell om te sien en te bestuur. Byvoorbeeld, ingeboude verskaffers kan Windows-omgewingsveranderlikes of die stelselregister wees. Die opkoms van nuwe verskaffers moet gemonitor word om kwaadwillige aktiwiteite betyds op te spoor. Byvoorbeeld, as jy sien dat WSMan onder die verskaffers verskyn het, dan is 'n afgeleë PowerShell-sessie begin.
Microsoft-WindowsPowerShell/Operasionele logboek (of MicrosoftWindows-PowerShellCore/Operational in PowerShell 6)
Module-aantekening (gebeurtenis-ID 4103). Gebeurtenisse stoor inligting oor elke uitgevoer opdrag en die parameters waarmee dit opgeroep is.
Skripblokkering aanteken (gebeurtenis-ID 4104). Skripblokkeringslogboek wys elke uitgevoerde blok van PowerShell-kode. Selfs as 'n aanvaller probeer om die opdrag te versteek, sal hierdie gebeurtenistipe wys dat die PowerShell-opdrag werklik uitgevoer is. Ook in hierdie tipe gebeurtenis kan sommige laevlak-API-oproepe wat aan die gang is, aangeteken word, hierdie gebeure word gewoonlik as Verbose aangeteken, maar as 'n verdagte opdrag of skrif in 'n blok kode gebruik word, sal dit as kritieke Waarskuwing aangeteken word.
Neem asseblief kennis dat na die opstel van 'n instrument vir die versameling en ontleding van hierdie gebeurtenisse, addisionele ontfoutingstyd nodig sal wees om die aantal vals positiewes te verminder.
Vertel ons in die opmerkings watter logs jy insamel vir inligtingsekuriteitoudits en watter gereedskap jy hiervoor gebruik. Een van ons areas is oplossings vir die ouditering van inligtingsekuriteitsgebeure. Om die probleem van die insameling en ontleding van logs op te los, kan ons voorstel dat u dit van nader bekyk , wat gestoorde data teen 'n verhouding van 20:1 kan saamdruk, en een geïnstalleerde kopie is in staat om tot 60000 10000 gebeurtenisse per sekonde uit XNUMX XNUMX bronne te verwerk.
Bron: will.com