محطة عمل المستخدم هي النقطة الأكثر ضعفًا في البنية التحتية من حيث أمن المعلومات. قد يتلقى المستخدمون رسالة إلى بريد العمل الخاص بهم يبدو أنه من مصدر آمن ، ولكن مع ارتباط إلى موقع مصاب. ربما يقوم شخص ما بتنزيل أداة مفيدة للعمل من مكان غير معروف. نعم ، يمكنك التوصل إلى أكثر من اثنتي عشرة حالة حول كيفية اختراق البرامج الضارة لموارد الشركة الداخلية من خلال المستخدمين. لذلك ، تتطلب محطات العمل مزيدًا من الاهتمام ، وفي هذه المقالة سنخبرك أين وما هي الأحداث التي يجب اتخاذها لتتبع الهجمات.
لاكتشاف هجوم في مرحلة مبكرة ، يوجد لدى Windows ثلاثة مصادر أحداث مفيدة: سجل أحداث الأمان ، وسجل مراقبة النظام ، وسجلات Power Shell.
سجل الأمان
هذا هو موقع التخزين الرئيسي لسجلات أمان النظام. يتضمن ذلك أحداث تسجيل دخول / خروج المستخدم ، والوصول إلى الكائنات ، وتغييرات السياسة والأنشطة الأخرى المتعلقة بالأمان. بالطبع ، إذا تم تكوين السياسة المناسبة.
تعداد المستخدمين والمجموعات (الأحداث 4798 و 4799). غالبًا ما تعدد البرامج الضارة في بداية الهجوم حسابات المستخدمين المحليين والمجموعات المحلية على محطة عمل للعثور على بيانات اعتماد لأفعالها المظلمة. تساعد هذه الأحداث في اكتشاف التعليمات البرمجية الضارة قبل أن تنتقل وتستخدم البيانات المجمعة للانتشار إلى الأنظمة الأخرى.
إنشاء الحساب المحلي والتغييرات في المجموعات المحلية (الأحداث 4720 و 4722-4726 و 4738 و 4740 و 4767 و 4780 و 4781 و 4794 و 5376 و 5377). يمكن أن يبدأ الهجوم أيضًا ، على سبيل المثال ، بإضافة مستخدم جديد إلى مجموعة المسؤولين المحليين.
محاولات تسجيل الدخول المحلية (الحدث 4624). يقوم المستخدمون المحترمون بتسجيل الدخول باستخدام حساب مجال ، ويمكن أن يعني اكتشاف تسجيل الدخول ضمن حساب محلي بداية الهجوم. يتضمن الحدث 4624 أيضًا عمليات تسجيل الدخول إلى المجال ، لذلك عند معالجة الأحداث ، تحتاج إلى تصفية الأحداث التي يختلف فيها المجال عن اسم محطة العمل.
جرت محاولة لتسجيل الدخول بالحساب المحدد (الحدث 4648). يحدث هذا عندما يتم تشغيل العملية في وضع "تشغيل كـ" (تشغيل كـ). في التشغيل العادي للأنظمة ، لا ينبغي أن يحدث هذا ، لذلك يجب التحكم في مثل هذه الأحداث.
قفل / فتح محطة العمل (الأحداث 4800-4803). تتضمن الأحداث المشبوهة أي نشاط حدث على محطة عمل مقفلة.
تغييرات تكوين جدار الحماية (الأحداث 4944-4958). من الواضح أنه عند تثبيت برنامج جديد ، قد تتغير إعدادات تكوين جدار الحماية ، مما يؤدي إلى نتائج إيجابية خاطئة. في معظم الحالات ، ليست هناك حاجة للتحكم في مثل هذه التغييرات ، ولكن بالتأكيد لن يكون من الضروري معرفة ذلك.
توصيل أجهزة Plug'n'play (الحدث 6416 فقط من أجل WIndows 10). من المهم تتبع ذلك إذا لم يقم المستخدمون عادةً بتوصيل أجهزة جديدة بمحطة العمل ، ثم قاموا بذلك فجأة.
يتضمن Windows 9 فئات تدقيق و 50 فئة فرعية للضبط الدقيق. الحد الأدنى من مجموعة الفئات الفرعية التي يجب تمكينها في الإعدادات:
تسجيل الدخول / الخروج
- تسجيل دخول؛
- إطفاء؛
- تأمين الحساب
- أحداث أخرى لتسجيل الدخول / تسجيل الخروج.
ادارة الحساب
- إدارة حساب المستخدم ؛
- إدارة مجموعة الأمان.
تغيير السياسة
- تغيير سياسة التدقيق ؛
- تغيير نهج المصادقة ؛
- تغيير سياسة التفويض.
مراقب النظام (Sysmon)
Sysmon هي أداة مساعدة مضمنة في Windows يمكنها كتابة الأحداث في سجل النظام. عادة ما يحتاج إلى التثبيت بشكل منفصل.
يمكن العثور على هذه الأحداث نفسها من حيث المبدأ في سجل الأمان (من خلال تمكين سياسة التدقيق المناسبة) ، ولكن Sysmon يقدم مزيدًا من التفاصيل. ما الأحداث التي يمكن أن تؤخذ من Sysmon؟
إنشاء العملية (معرف الحدث 1). يمكن أن يخبرك سجل أحداث أمان النظام أيضًا عند بدء تشغيل بعض ملفات * .exe وحتى إظهار اسمه ومسار التشغيل. ولكن على عكس Sysmon ، لن يتمكن من إظهار تجزئة التطبيق. يمكن تسمية البرامج الضارة حتى notepad.exe غير مؤذية ، ولكن التجزئة هي التي ستجعلها تنظف المياه.
اتصالات الشبكة (معرف الحدث 3). من الواضح أن هناك الكثير من اتصالات الشبكة ، ولا يمكنك تتبع الجميع. ولكن من المهم أن تضع في اعتبارك أن Sysmon ، على عكس نفس سجل الأمان ، يمكنه ربط اتصال الشبكة بحقول ProcessID و ProcessGUID ، ويعرض المنفذ وعناوين IP للمصدر والوجهة.
التغييرات في سجل النظام (معرف الحدث 12-14). أسهل طريقة لإضافة نفسك إلى التشغيل التلقائي هي التسجيل في السجل. يمكن لسجل الأمان القيام بذلك ، لكن يُظهر Sysmon من قام بالتغييرات ، ومتى ومن أين ، معرف العملية والقيمة السابقة للمفتاح.
إنشاء ملف (معرف الحدث 11). Sysmon ، على عكس Security Log ، لن يعرض فقط موقع الملف ، ولكن أيضًا اسمه. من الواضح أنه لا يمكنك تتبع كل شيء ، ولكن يمكنك أيضًا تدقيق أدلة معينة.
والآن ما هو غير موجود في سياسات سجل الأمان ، ولكنه موجود في Sysmon:
تغيير وقت إنشاء الملف (معرف الحدث 2). يمكن لبعض البرامج الضارة انتحال تاريخ إنشاء ملف لإخفائه من تقارير الملفات الأخيرة.
تحميل برامج التشغيل والمكتبات الديناميكية (معرف الحدث 6-7). تتبع تحميل ملفات DLL وبرامج تشغيل الأجهزة في الذاكرة ، والتحقق من التوقيع الرقمي وصلاحيته.
إنشاء موضوع في عملية جارية (معرف الحدث 8). أحد أنواع الهجمات التي تحتاج أيضًا إلى المراقبة.
أحداث RawAccessRead (معرف الحدث 9). عمليات قراءة القرص باستخدام “.”. في الغالبية العظمى من الحالات ، يجب اعتبار هذا النشاط غير طبيعي.
قم بإنشاء دفق ملف مسمى (معرف الحدث 15). يتم تسجيل الحدث عندما يتم إنشاء دفق ملف مسمى يقوم بإنشاء أحداث بتجزئة محتويات الملف.
إنشاء توجيه واتصال مسمى (معرف الحدث 17-18). تتبع التعليمات البرمجية الخبيثة التي تتصل بالمكونات الأخرى من خلال أنبوب مسمى.
نشاط WMI (معرف الحدث 19). تسجيل الأحداث التي تم إنشاؤها عند الوصول إلى النظام عبر بروتوكول WMI.
لحماية Sysmon نفسه ، تحتاج إلى مراقبة الأحداث باستخدام المعرف 4 (Stop and start Sysmon) والمعرف 16 (تغيير تكوين Sysmon).
سجلات Power Shell
Power Shell هي أداة قوية لإدارة البنية التحتية لنظام Windows ، لذا من المحتمل أن يختارها المهاجم. هناك مصدران يمكنك استخدامهما للحصول على بيانات حول أحداث Power Shell: سجل Windows PowerShell و Microsoft-WindowsPowerShell / السجل التشغيلي.
سجل Windows PowerShell
تم تحميل مزود البيانات (معرف الحدث 600). موفرو PowerShell عبارة عن برامج تعمل كمصدر بيانات لـ PowerShell لعرضها وإدارتها. على سبيل المثال ، يمكن أن يكون الموفرون المدمجون متغيرات بيئة Windows أو سجل النظام. يجب مراقبة ظهور موردين جدد من أجل الكشف عن النشاط الضار في الوقت المناسب. على سبيل المثال ، إذا رأيت ظهور WSMan بين الموفرين ، فقد تم بدء جلسة PowerShell عن بُعد.
Microsoft-WindowsPowerShell / السجل التشغيلي (أو MicrosoftWindows-PowerShellCore / التشغيل في PowerShell 6)
تسجيل الوحدة النمطية (معرف الحدث 4103). تخزن الأحداث معلومات حول كل أمر تم تنفيذه والمعلمات التي تم استدعاؤها من خلالها.
البرنامج النصي لمنع التسجيل (معرف الحدث 4104). يُظهر تسجيل حظر البرنامج النصي كل كتلة تم تنفيذها من كود PowerShell. حتى إذا حاول أحد المهاجمين إخفاء الأمر ، فسيُظهر نوع الحدث هذا تنفيذ أمر PowerShell بالفعل. أيضًا في هذا النوع من الأحداث ، يمكن تسجيل بعض استدعاءات واجهة برمجة التطبيقات منخفضة المستوى قيد التقدم ، وعادة ما يتم تسجيل هذه الأحداث على أنها مطولة ، ولكن إذا تم استخدام أمر أو نص برمجي مشبوه في كتلة من التعليمات البرمجية ، فسيتم تسجيله كتحذير هام.
يرجى ملاحظة أنه بعد إعداد أداة لتجميع هذه الأحداث وتحليلها ، ستكون هناك حاجة إلى وقت تصحيح إضافي لتقليل عدد الإيجابيات الخاطئة.
أخبرنا في التعليقات عن السجلات التي تجمعها لعمليات تدقيق أمن المعلومات والأدوات التي تستخدمها لهذا الغرض. أحد مجالاتنا هو حلول تدقيق أحداث أمن المعلومات. لحل مشكلة جمع السجلات وتحليلها ، يمكننا اقتراح إلقاء نظرة فاحصة عليها ، والتي يمكنها ضغط البيانات المخزنة بنسبة 20: 1 ، ويمكن لنسخة مثبتة واحدة معالجة ما يصل إلى 60000 حدث في الثانية من 10000 مصدر.
المصدر: www.habr.com