İstifadəçi iş stansiyası informasiya təhlükəsizliyi baxımından infrastrukturun ən həssas nöqtəsidir. İstifadəçilər iş e-poçtlarına təhlükəsiz mənbədən görünən, lakin yoluxmuş sayta keçid olan məktub ala bilərlər. Ola bilsin ki, kimsə naməlum yerdən iş üçün faydalı proqramı endirəcək. Bəli, zərərli proqramların istifadəçilər vasitəsilə daxili korporativ resurslara necə nüfuz edə biləcəyi ilə bağlı onlarla hal tapa bilərsiniz. Buna görə də, iş stansiyaları artan diqqət tələb edir və bu məqalədə hücumları izləmək üçün harada və hansı hadisələrin aparılacağını sizə xəbər verəcəyik.
Mümkün olan ən erkən mərhələdə hücumu aşkar etmək üçün WIndows-un üç faydalı hadisə mənbəyi var: Təhlükəsizlik Hadisələri Qeydi, Sistem Monitorinqi Qeydləri və Power Shell Qeydləri.
Təhlükəsizlik hadisələri jurnalı
Bu, sistem təhlükəsizlik qeydləri üçün əsas saxlama yeridir. Buraya istifadəçinin giriş/çıxış hadisələri, obyektlərə giriş, siyasət dəyişiklikləri və təhlükəsizliklə bağlı digər fəaliyyətlər daxildir. Əlbəttə ki, uyğun siyasət konfiqurasiya olunarsa.
İstifadəçilərin və qrupların sadalanması (hadisələr 4798 və 4799). Hücumun lap əvvəlində zərərli proqram tez-tez yerli istifadəçi hesabları və yerli qruplar vasitəsilə gizli əməliyyatlar üçün etimadnamələri tapmaq üçün iş stansiyasında axtarış aparır. Bu hadisələr zərərli kodu hərəkət etməmişdən və toplanmış məlumatlardan istifadə edərək digər sistemlərə yayılmadan aşkar etməyə kömək edəcək.
Yerli hesabın yaradılması və yerli qruplarda dəyişikliklər (hadisələr 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 və 5377). Hücum, məsələn, yerli idarəçilər qrupuna yeni istifadəçi əlavə etməklə də başlaya bilər.
Yerli hesabla daxil olmaq cəhdləri (hadisə 4624). Hörmətli istifadəçilər bir domen hesabı ilə daxil olurlar və yerli hesabla girişin müəyyən edilməsi hücumun başlanğıcı demək ola bilər. Hadisə 4624 domen hesabı altında girişləri də əhatə edir, ona görə də hadisələri emal edərkən siz domenin iş stansiyasının adından fərqli olduğu hadisələri süzgəcdən keçirməlisiniz.
Göstərilən hesabla daxil olmaq cəhdi (hadisə 4648). Bu proses “kimi işlət” rejimində işləyərkən baş verir. Sistemlərin normal işləməsi zamanı bu baş verməməlidir, ona görə də belə hadisələrə nəzarət edilməlidir.
İş stansiyasının kilidlənməsi/açılması (hadisələr 4800-4803). Şübhəli hadisələr kateqoriyasına kilidlənmiş iş stansiyasında baş vermiş hər hansı hərəkətlər daxildir.
Firewall konfiqurasiyasında dəyişikliklər (hadisələr 4944-4958). Aydındır ki, yeni proqram təminatı quraşdırarkən, firewall konfiqurasiya parametrləri dəyişə bilər ki, bu da yanlış pozitivlərə səbəb olacaq. Əksər hallarda bu cür dəyişikliklərə nəzarət etməyə ehtiyac yoxdur, lakin onlar haqqında bilmək mütləq zərər verməyəcək.
Plug'n'play cihazlarının birləşdirilməsi (hadisə 6416 və yalnız Windows 10 üçün). İstifadəçilər adətən yeni cihazları iş stansiyasına qoşmurlarsa, lakin birdən-birə qoşulurlarsa, buna diqqət yetirmək vacibdir.
Windows-a 9 audit kateqoriyası və dəqiq tənzimləmə üçün 50 altkateqoriya daxildir. Parametrlərdə aktiv edilməli olan minimum alt kateqoriyalar dəsti:
Giriş / Çıxış
- Daxil olmaq;
- Çıxmaq;
- Hesabın bloklanması;
- Digər Giriş/Çıxış Hadisələri.
Hesab İdarəetmə
- İstifadəçi Hesabının İdarə Edilməsi;
- Təhlükəsizlik Qrupunun İdarə Edilməsi.
Siyasət Dəyişikliyi
- Audit Siyasətinin Dəyişikliyi;
- Doğrulama Siyasətinin Dəyişikliyi;
- Avtorizasiya Siyasətinin Dəyişikliyi.
Sistem Monitoru (Sysmon)
Sysmon, hadisələri sistem jurnalında qeyd edə bilən Windows-da qurulmuş bir yardım proqramıdır. Adətən onu ayrıca quraşdırmaq lazımdır.
Eyni hadisələr, prinsipcə, təhlükəsizlik jurnalında tapıla bilər (istənilən audit siyasətini işə salmaqla), lakin Sysmon daha ətraflı məlumat verir. Sysmondan hansı hadisələr götürülə bilər?
Prosesin yaradılması (hadisə ID 1). Sistem təhlükəsizlik hadisələri jurnalı sizə *.exe faylının nə vaxt başladığını və hətta onun adını və işə salınma yolunu göstərə bilər. Lakin Sysmon-dan fərqli olaraq, o, tətbiqin hashını göstərə bilməyəcək. Zərərli proqram təminatı hətta zərərsiz notepad.exe adlandırıla bilər, lakin onu üzə çıxaracaq hashdır.
Şəbəkə Əlaqələri (Hadisə ID 3). Aydındır ki, çoxlu şəbəkə əlaqələri var və onların hamısını izləmək mümkün deyil. Lakin nəzərə almaq lazımdır ki, Sysmon, Security Log-dan fərqli olaraq, şəbəkə bağlantısını ProcessID və ProcessGUID sahələrinə bağlaya bilər və mənbə və təyinatın port və IP ünvanlarını göstərir.
Sistem reyestrində dəyişikliklər (hadisə ID 12-14). Özünüzü autorun-a əlavə etməyin ən asan yolu reyestrdə qeydiyyatdan keçməkdir. Security Log bunu edə bilər, lakin Sysmon dəyişiklikləri kimin, nə vaxt, haradan, proses ID-sini və əvvəlki açar dəyərini göstərir.
Fayl yaradılması (hadisə ID 11). Sysmon, Security Log-dan fərqli olaraq, yalnız faylın yerini deyil, həm də adını göstərəcəkdir. Hər şeyi izləyə bilməyəcəyiniz aydındır, lakin müəyyən qovluqları yoxlaya bilərsiniz.
İndi Təhlükəsizlik Qeydiyyatı siyasətlərində olmayan, lakin Sysmon-da olan:
Fayl yaratma vaxtının dəyişdirilməsi (hadisə ID 2). Bəzi zərərli proqramlar faylın yaranma tarixini saxtalaşdıraraq onu bu yaxınlarda yaradılmış faylların hesabatlarından gizlədə bilər.
Sürücülər və dinamik kitabxanalar yüklənir (hadisə ID-ləri 6-7). DLL və qurğu drayverlərinin yaddaşa yüklənməsinə nəzarət, rəqəmsal imzanın və onun etibarlılığının yoxlanılması.
Çalışan prosesdə mövzu yaradın (hadisə ID 8). Həm də nəzarət edilməli olan bir hücum növü.
RawAccessRead Hadisələri (Hadisə ID 9). “.” istifadə edərək disk oxu əməliyyatları. Əksər hallarda bu cür fəaliyyət qeyri-normal hesab edilməlidir.
Adlandırılmış fayl axını yaradın (hadisə ID 15). Faylın məzmununun hash ilə hadisələri yayan adlandırılmış fayl axını yaradıldıqda hadisə qeyd olunur.
Adlandırılmış boru və əlaqə yaratmaq (hadisə ID 17-18). Adlandırılmış boru vasitəsilə digər komponentlərlə əlaqə saxlayan zərərli kodun izlənməsi.
WMI fəaliyyəti (hadisə ID 19). WMI protokolu vasitəsilə sistemə daxil olarkən yaranan hadisələrin qeydiyyatı.
Sysmonun özünü qorumaq üçün siz ID 4 (Sysmon dayandırılması və işə salınması) və ID 16 (Sysmon konfiqurasiya dəyişiklikləri) ilə hadisələrə nəzarət etməlisiniz.
Power Shell Logs
Power Shell Windows infrastrukturunu idarə etmək üçün güclü vasitədir, ona görə də təcavüzkarın onu seçmə ehtimalı yüksəkdir. Power Shell hadisə məlumatlarını əldə etmək üçün istifadə edə biləcəyiniz iki mənbə var: Windows PowerShell jurnalı və Microsoft-WindowsPowerShell/Əməliyyat jurnalı.
Windows PowerShell jurnalı
Data provayderi yükləndi (hadisə ID-si 600). PowerShell provayderləri PowerShell-ə baxmaq və idarə etmək üçün məlumat mənbəyi təmin edən proqramlardır. Məsələn, daxili provayderlər Windows mühit dəyişənləri və ya sistem reyestri ola bilər. Zərərli fəaliyyəti vaxtında aşkar etmək üçün yeni təchizatçıların yaranmasına nəzarət edilməlidir. Məsələn, provayderlər arasında WSMan-ın göründüyünü görürsünüzsə, o zaman uzaqdan PowerShell sessiyası başladılıb.
Microsoft-WindowsPowerShell / Əməliyyat jurnalı (və ya MicrosoftWindows-PowerShellCore / PowerShell 6-da Əməliyyat)
Modul qeydi (hadisə ID 4103). Hadisələr hər bir yerinə yetirilən əmr və onun çağırıldığı parametrlər haqqında məlumatları saxlayır.
Skriptin bloklanması qeydi (hadisə ID 4104). Skript bloklama qeydi icra edilən PowerShell kodunun hər blokunu göstərir. Təcavüzkar əmri gizlətməyə çalışsa belə, bu hadisə növü həqiqətən icra edilmiş PowerShell əmrini göstərəcək. Bu hadisə növü həmçinin edilən bəzi aşağı səviyyəli API çağırışlarını qeyd edə bilər, bu hadisələr adətən Verbose kimi qeyd olunur, lakin şübhəli əmr və ya skript kod blokunda istifadə olunarsa, o, Xəbərdarlıq ciddiliyi kimi qeyd olunacaq.
Nəzərə alın ki, alət bu hadisələri toplamaq və təhlil etmək üçün konfiqurasiya edildikdən sonra yanlış pozitivlərin sayını azaltmaq üçün əlavə sazlama vaxtı tələb olunacaq.
Şərhlərdə məlumat təhlükəsizliyi auditi üçün hansı qeydləri topladığınızı və bunun üçün hansı vasitələrdən istifadə etdiyinizi bizə bildirin. Bizim diqqət etdiyimiz sahələrdən biri informasiya təhlükəsizliyi hadisələrinin auditi üçün həllərdir. Günlüklərin toplanması və təhlili problemini həll etmək üçün daha yaxından nəzərdən keçirməyi təklif edə bilərik 20:1 nisbəti ilə saxlanılan məlumatları sıxışdıra bilən və onun bir quraşdırılmış nümunəsi 60000 mənbədən saniyədə 10000 hadisəni emal etməyə qadirdir.
Mənbə: www.habr.com