የተጠቃሚው መስሪያ ቦታ የመረጃ ደህንነትን በተመለከተ ከመሠረተ ልማት ውስጥ በጣም የተጋለጠ ቦታ ነው. ተጠቃሚዎች ለሥራቸው ኢሜይል ከአስተማማኝ ምንጭ የመጣ የሚመስል፣ ነገር ግን ከተበከለ ጣቢያ ጋር የሚያገናኝ ደብዳቤ ሊደርሳቸው ይችላል። ምናልባት አንድ ሰው ከማይታወቅ ቦታ ለስራ የሚጠቅም መገልገያ ያወርድ ይሆናል። አዎ፣ ማልዌር እንዴት የውስጥ ኮርፖሬት ሃብቶችን በተጠቃሚዎች ውስጥ ሰርጎ መግባት እንደሚችል የሚያሳዩ በደርዘን የሚቆጠሩ ጉዳዮችን ይዘው መምጣት ይችላሉ። ስለዚህ, የስራ ቦታዎች ተጨማሪ ትኩረት ያስፈልጋቸዋል, እና በዚህ ጽሑፍ ውስጥ ጥቃቶችን ለመከታተል የት እና ምን አይነት ክስተቶች እንደሚወሰዱ እንነግርዎታለን.
በተቻለ ፍጥነት ጥቃትን ለመለየት ዊንዶውስ ሶስት ጠቃሚ የክስተት ምንጮች አሉት፡ የደህንነት ክስተት ሎግ፣ የስርዓት ክትትል ሎግ እና የፓወር ሼል ሎግ።
የደህንነት ክስተት ምዝግብ ማስታወሻ
ይህ የስርዓት ደህንነት ምዝግብ ማስታወሻዎች ዋና ማከማቻ ቦታ ነው። ይህ የተጠቃሚ የመግባት/የመውጣት ክስተቶችን፣ የነገሮችን መዳረሻ፣ የመመሪያ ለውጦችን እና ሌሎች ከደህንነት ጋር የተያያዙ እንቅስቃሴዎችን ያካትታል። እርግጥ ነው, ተገቢው ፖሊሲ ከተዋቀረ.
የተጠቃሚዎች እና ቡድኖች ብዛት (ክስተቶች 4798 እና 4799)። በጥቃቱ መጀመሪያ ላይ ማልዌር ብዙውን ጊዜ በአካባቢያዊ የተጠቃሚ መለያዎች እና በአካባቢያዊ ቡድኖች ውስጥ በአንድ የስራ ቦታ ላይ ለጥላቻ ግንኙነቱ ማረጋገጫዎችን ይፈልጋል። እነዚህ ክስተቶች ከመቀጠሉ በፊት ተንኮል አዘል ኮድን ለመለየት እና የተሰበሰበውን ውሂብ በመጠቀም ወደ ሌሎች ስርዓቶች እንዲሰራጭ ያግዛሉ።
የአካባቢ መለያ መፍጠር እና በአካባቢ ቡድኖች ውስጥ ለውጦች (ክስተቶች 4720, 4722-4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 እና 5377). ጥቃቱ እንዲሁ ሊጀምር ይችላል፣ ለምሳሌ፣ አዲስ ተጠቃሚን ወደ የአካባቢ አስተዳዳሪዎች ቡድን በማከል።
በአካባቢያዊ መለያ የመግባት ሙከራዎች (ክስተት 4624)። የተከበሩ ተጠቃሚዎች በጎራ መለያ ገብተዋል፣ እና በአካባቢው መለያ ስር መግባትን መለየት የጥቃት መጀመር ማለት ነው። ክስተት 4624 እንዲሁ በዶሜይን መለያ ስር መግባትን ያካትታል ስለዚህ ክስተቶችን በሚሰራበት ጊዜ ጎራው ከስራ ጣቢያው ስም የተለየባቸውን ክስተቶች ማጣራት ያስፈልግዎታል።
በተጠቀሰው መለያ የመግባት ሙከራ (ክስተት 4648)። ይህ የሚሆነው ሂደቱ በ "አሂድ እንደ" ሁነታ ላይ ሲሄድ ነው. ይህ በተለመደው የስርዓተ ክወናዎች ውስጥ መከሰት የለበትም, ስለዚህ እንደዚህ ያሉ ክስተቶች ቁጥጥር ሊደረግባቸው ይገባል.
የሥራ ቦታውን መቆለፍ / መክፈት (ክስተቶች 4800-4803). አጠራጣሪ ክስተቶች ምድብ በተቆለፈ የስራ ቦታ ላይ የተከሰቱ ማናቸውንም ድርጊቶች ያካትታል።
የፋየርዎል ውቅር ለውጦች (ክስተቶች 4944-4958)። አዲስ ሶፍትዌሮችን በሚጭኑበት ጊዜ የፋየርዎል ውቅረት ቅንጅቶች ሊለወጡ እንደሚችሉ ግልጽ ነው, ይህም የውሸት አወንታዊ ውጤቶችን ያስከትላል. በአብዛኛዎቹ ሁኔታዎች, እንደዚህ አይነት ለውጦችን መቆጣጠር አያስፈልግም, ግን በእርግጠኝነት ስለእነሱ ማወቅ አይጎዳውም.
Plug'n'play መሳሪያዎችን በማገናኘት ላይ (ክስተት 6416 እና ለዊንዶውስ 10 ብቻ)። ተጠቃሚዎች ብዙውን ጊዜ አዲስ መሳሪያዎችን ከስራ ቦታው ጋር ካላገናኙ ግን በድንገት ያደርጉታል ይህንን መከታተል አስፈላጊ ነው ።
ዊንዶውስ 9 የኦዲት ምድቦችን እና 50 ንዑስ ምድቦችን ለጥሩ ማስተካከያ ያካትታል። በቅንብሮች ውስጥ መንቃት ያለባቸው ዝቅተኛው የንዑስ ምድቦች ስብስብ፡-
Logon / Logoff
- ግባ;
- ጨርሰህ ውጣ;
- መለያ መቆለፊያ;
- ሌሎች የመግቢያ/Logoff ክስተቶች።
የመለያ አስተዳደር
- የተጠቃሚ መለያ አስተዳደር;
- የደህንነት ቡድን አስተዳደር.
የፖሊሲ ለውጥ
- የኦዲት ፖሊሲ ለውጥ;
- የማረጋገጫ ፖሊሲ ለውጥ;
- የፍቃድ ፖሊሲ ለውጥ።
የስርዓት መከታተያ (Sysmon)
Sysmon በስርዓት ሎግ ውስጥ ክስተቶችን መመዝገብ የሚችል በዊንዶው ውስጥ የተገነባ መገልገያ ነው። ብዙውን ጊዜ በተናጠል መጫን ያስፈልግዎታል.
እነዚሁ ተመሳሳይ ክስተቶች በመርህ ደረጃ በደህንነት መዝገብ ውስጥ ሊገኙ ይችላሉ (የሚፈለገውን የኦዲት ፖሊሲን በማንቃት)፣ ነገር ግን Sysmon የበለጠ ዝርዝር መረጃ ይሰጣል። ከSysmon ምን ዓይነት ክስተቶች ሊወሰዱ ይችላሉ?
ሂደት መፍጠር (የክስተት መታወቂያ 1). የስርዓት ደህንነት ክስተት ምዝግብ ማስታወሻው *.exe መቼ እንደጀመረ ሊነግርዎት እና ስሙን እና የማስጀመሪያ መንገዱን ያሳያል። ነገር ግን ከSysmon በተለየ መልኩ የመተግበሪያውን ሃሽ ማሳየት አይችልም። ተንኮል አዘል ሶፍትዌሮች ምንም ጉዳት የሌለው notepad.exe ተብሎ ሊጠራ ይችላል ነገርግን ወደ ብርሃን የሚያመጣው ሃሽ ነው።
የአውታረ መረብ ግንኙነቶች (የክስተት መታወቂያ 3)። በግልጽ ለማየት እንደሚቻለው, ብዙ የአውታረ መረብ ግንኙነቶች አሉ, እና ሁሉንም ለመከታተል የማይቻል ነው. ነገር ግን Sysmon ከሴኩሪቲ ሎግ በተለየ መልኩ የኔትወርክ ግንኙነትን ከProcessID እና ProcessGUID መስኮች ጋር ማገናኘት እና የምንጭ እና መድረሻውን ወደብ እና አይፒ አድራሻ እንደሚያሳይ ማጤን አስፈላጊ ነው።
በስርዓት መዝገብ ውስጥ ለውጦች (የክስተት መታወቂያ 12-14). እራስዎን ወደ autorun ለመጨመር ቀላሉ መንገድ በመመዝገቢያ ውስጥ መመዝገብ ነው. የሴኪዩሪቲ ሎግ ይህን ማድረግ ይችላል፣ ነገር ግን Sysmon ማን ለውጦቹን እንዳደረገ፣ መቼ፣ ከየት፣ የሂደት መታወቂያ እና የቀደመውን ቁልፍ እሴት ያሳያል።
ፋይል መፍጠር (የክስተት መታወቂያ 11)። Sysmon ከደህንነት ሎግ በተለየ መልኩ የፋይሉን ቦታ ብቻ ሳይሆን ስሙንም ያሳያል። ሁሉንም ነገር መከታተል እንደማይችሉ ግልጽ ነው, ነገር ግን የተወሰኑ ማውጫዎችን ኦዲት ማድረግ ይችላሉ.
እና አሁን በደህንነት ሎግ ፖሊሲዎች ውስጥ የሌለ ነገር ግን በSysmon ውስጥ ያለው፡-
የፋይል መፍጠሪያ ጊዜ ለውጥ (የክስተት መታወቂያ 2)። አንዳንድ ማልዌር ፋይሉን በቅርብ ጊዜ ከተፈጠሩ ፋይሎች ሪፖርቶች ለመደበቅ የተፈጠረበትን ቀን ማጭበርበር ይችላሉ።
ነጂዎችን እና ተለዋዋጭ ቤተ-ፍርግሞችን (የክስተት መታወቂያ 6-7) በመጫን ላይ። የዲኤልኤል እና የመሳሪያ ነጂዎችን ወደ ማህደረ ትውስታ መጫን መከታተል፣ የዲጂታል ፊርማውን እና ትክክለኛነቱን ማረጋገጥ።
በሩጫ ሂደት ውስጥ ክር ይፍጠሩ (የክስተት መታወቂያ 8)። እንዲሁም ክትትል የሚያስፈልገው አንድ የጥቃት አይነት።
RawAccessRead Events (የክስተት መታወቂያ 9)። "" በመጠቀም የዲስክ የማንበብ ስራዎች. በአብዛኛዎቹ ሁኔታዎች እንዲህ ዓይነቱ እንቅስቃሴ ያልተለመደ እንደሆነ ተደርጎ ሊወሰድ ይገባል.
የተሰየመ የፋይል ዥረት ይፍጠሩ (የክስተት መታወቂያ 15)። በፋይሉ ይዘት ሃሽ ክስተቶችን የሚያወጣ የተሰየመ የፋይል ዥረት ሲፈጠር አንድ ክስተት ተመዝግቧል።
የተሰየመ ቧንቧ እና ግንኙነት መፍጠር (የክስተት መታወቂያ 17-18)። በተሰየመው ቧንቧ ከሌሎች አካላት ጋር የሚገናኝ ተንኮል አዘል ኮድ መከታተል።
የWMI እንቅስቃሴ (የክስተት መታወቂያ 19)። ስርዓቱን በ WMI ፕሮቶኮል ሲደርሱ የሚፈጠሩ ክስተቶች ምዝገባ።
Sysmonን እራሱን ለመጠበቅ መታወቂያ 4 (Sysmon stoping and start) እና መታወቂያ 16 (Sysmon ውቅር ለውጦች) ያላቸውን ክስተቶች መከታተል አለቦት።
የኃይል ሼል ምዝግብ ማስታወሻዎች
Power Shell የዊንዶውስ መሠረተ ልማትን ለማስተዳደር ኃይለኛ መሳሪያ ነው, ስለዚህ አጥቂው የመምረጥ እድሉ ከፍተኛ ነው. የፓወር ሼል ክስተት ዳታ ለማግኘት ሁለት ምንጮች አሉ፡ ዊንዶውስ ፓወር ሼል ሎግ እና ማይክሮሶፍት-ዊንዶውስ ፓወርሼል/ኦፕሬሽን ሎግ።
የዊንዶውስ ፓወር ሼል መዝገብ
የውሂብ አቅራቢ ተጭኗል (የክስተት መታወቂያ 600)። PowerShell አቅራቢዎች ለPowerShell ለማየት እና ለማስተዳደር የውሂብ ምንጭ የሚያቀርቡ ፕሮግራሞች ናቸው። ለምሳሌ፣ አብሮገነብ አቅራቢዎች የዊንዶውስ አካባቢ ተለዋዋጮች ወይም የስርዓት መዝገብ ሊሆኑ ይችላሉ። ተንኮል-አዘል ድርጊቶችን በጊዜ ለማወቅ የአዳዲስ አቅራቢዎች መፈጠር ክትትል ሊደረግበት ይገባል. ለምሳሌ፣ WSman በአገልግሎት አቅራቢዎች ውስጥ ሲታይ ካዩ፣ ከዚያ የርቀት PowerShell ክፍለ ጊዜ ተጀምሯል።
የማይክሮሶፍት ዊንዶውስ ፓወር ሼል / ኦፕሬሽን ሎግ (ወይም ማይክሮሶፍት ዊንዶውስ-ፓወር ሼል ኮር / በPowerShell 6 ውስጥ የሚሰራ)
የሞዱል ምዝግብ ማስታወሻ (የክስተት መታወቂያ 4103)። ክስተቶች ስለ እያንዳንዱ የተፈፀመ ትዕዛዝ እና የተጠራበትን ግቤቶች መረጃ ያከማቻል.
የስክሪፕት መዝገቦችን ማገድ (የክስተት መታወቂያ 4104)። የስክሪፕት እገዳ ምዝግብ ማስታወሻ እያንዳንዱ የPowerShell ኮድ መፈጸሙን ያሳያል። አንድ አጥቂ ትዕዛዙን ለመደበቅ ቢሞክር እንኳን፣ ይህ የክስተት አይነት በትክክል የተፈፀመውን የPowerShell ትዕዛዝ ያሳያል። ይህ የክስተት አይነት አንዳንድ ዝቅተኛ-ደረጃ ኤፒአይ ጥሪዎች እየተደረጉ መመዝገብ ይችላል፣ እነዚህ ክስተቶች አብዛኛውን ጊዜ እንደ Verbose ይመዘገባሉ፣ ነገር ግን አጠራጣሪ ትእዛዝ ወይም ስክሪፕት በኮድ ብሎክ ውስጥ ጥቅም ላይ ከዋለ እንደ ማስጠንቀቂያ ክብደት ይመዘገባል።
እባክዎን መሳሪያው እነዚህን ክስተቶች ለመሰብሰብ እና ለመተንተን ከተዋቀረ በኋላ የውሸት አወንቶችን ቁጥር ለመቀነስ ተጨማሪ የማረሚያ ጊዜ ያስፈልጋል።
ለመረጃ ደህንነት ኦዲት ምን አይነት ምዝግብ ማስታወሻዎች እንደሚሰበስቡ እና ለዚህ ምን አይነት መሳሪያዎች እንደሚጠቀሙ በአስተያየቶቹ ውስጥ ይንገሩን። አንዱ የትኩረት አቅጣጫችን የኢንፎርሜሽን ደህንነት ዝግጅቶችን ለማጣራት መፍትሄዎች ነው። የምዝግብ ማስታወሻዎችን የመሰብሰብ እና የመተንተን ችግር ለመፍታት, ጠለቅ ብለው እንዲመለከቱ ልንጠቁም እንችላለን የተከማቸ መረጃን በ20፡1 ጥምርታ መጭመቅ የሚችል እና አንድ የተጫነ ምሳሌ ከ60000 ምንጮች በሰከንድ እስከ 10000 ክስተቶችን ማካሄድ ይችላል።
ምንጭ: hab.com