Korisnička radna stanica je najranjivija tačka infrastrukture u smislu informacione sigurnosti. Korisnici mogu dobiti pismo na svoju radnu e-poštu za koju se čini da je iz sigurnog izvora, ali sa vezom do zaražene stranice. Možda će neko preuzeti uslužni program koristan za rad s nepoznate lokacije. Da, možete smisliti desetine slučajeva kako zlonamjerni softver može infiltrirati interne korporativne resurse preko korisnika. Stoga radne stanice zahtijevaju povećanu pažnju, a u ovom članku ćemo vam reći gdje i koje događaje trebate poduzeti da biste pratili napade.
Для выявления атаки на самой ранней стадии в ОС WIndows есть три полезных событийных источника: журнал событий безопасности, журнал системного мониторинга и журналы Power Shell.
Dnevnik sigurnosnih događaja
Ovo je glavna lokacija za pohranu sigurnosnih dnevnika sistema. Ovo uključuje događaje prijavljivanja/odjavljivanja korisnika, pristupa objektima, promjene politike i druge aktivnosti vezane za sigurnost. Naravno, ako je konfigurisana odgovarajuća politika.
Popis korisnika i grupa (događaji 4798 i 4799). Na samom početku napada, zlonamjerni softver često pretražuje lokalne korisničke račune i lokalne grupe na radnoj stanici kako bi pronašao vjerodajnice za svoje sumnjive poslove. Ovi događaji će pomoći u otkrivanju zlonamjernog koda prije nego što krene dalje i, koristeći prikupljene podatke, proširi se na druge sisteme.
Kreiranje lokalnog računa i promjene u lokalnim grupama (događaji 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 i 5377). Napad također može započeti, na primjer, dodavanjem novog korisnika u grupu lokalnih administratora.
Pokušaji prijave s lokalnim računom (događaj 4624). Respektabilni korisnici se prijavljuju s računom domene, a identificiranje prijave pod lokalnim računom može značiti početak napada. Događaj 4624 takođe uključuje prijave pod nalogom domene, tako da kada obrađujete događaje, morate filtrirati događaje u kojima se domen razlikuje od naziva radne stanice.
Pokušaj prijave sa navedenim nalogom (događaj 4648). Такое бывает, когда процесс выполняется в режиме “Запуск от имени” (run as). В нормальном режиме работы систем такого не должно быть, поэтому такие события должны находиться под контролем.
Zaključavanje/otključavanje radne stanice (događaji 4800-4803). Kategorija sumnjivih događaja uključuje sve radnje koje su se dogodile na zaključanoj radnoj stanici.
Promjene konfiguracije zaštitnog zida (događaji 4944-4958). Očigledno, prilikom instaliranja novog softvera, postavke konfiguracije zaštitnog zida mogu se promijeniti, što će uzrokovati lažne pozitivne rezultate. U većini slučajeva nema potrebe kontrolirati takve promjene, ali svakako neće škoditi znati za njih.
Povezivanje Plug'n'play uređaja (događaj 6416 i samo za Windows 10). За этим важно следить, если пользователи обычно не подключают новые устройства к рабочей станции, а тут вдруг раз — и подключили.
Windows uključuje 9 kategorija revizije i 50 potkategorija za fino podešavanje. Minimalni skup potkategorija koje treba omogućiti u postavkama:
Prijava / odjava
- Prijavi se;
- Odjaviti se;
- Zaključavanje računa;
- Drugi događaji prijave/odjave.
Upravljanje računa
- Upravljanje korisničkim računom;
- Upravljanje sigurnosnim grupama.
Promjena politike
- Promjena politike revizije;
- Promjena politike autentifikacije;
- Promjena politike autorizacije.
Monitor sistema (Sysmon)
Sysmon — встроенная в Windows утилита, которая умеет записывать события в системный журнал. Обычно требуется его устанавливать отдельно.
Эти же события можно в принципе найти в журнале безопасности (включив нужную политику аудита), но Sysmon даёт больше подробностей. Какие события можно забирать из Sysmon?
Kreiranje procesa (ID događaja 1). Dnevnik sigurnosnih događaja sistema takođe vam može reći kada je *.exe pokrenut, pa čak i pokazati njegovo ime i putanju za pokretanje. Ali za razliku od Sysmona, neće moći prikazati hash aplikacije. Zlonamjerni softver se čak može nazvati bezopasnim notepad.exe, ali heš će ga iznijeti na vidjelo.
Mrežne veze (ID događaja 3). Očigledno, postoji mnogo mrežnih veza i nemoguće ih je sve pratiti. Ali važno je uzeti u obzir da Sysmon, za razliku od Sigurnosnog dnevnika, može povezati mrežnu vezu sa poljima ProcessID i ProcessGUID i pokazuje port i IP adrese izvora i odredišta.
Promjene u sistemskom registru (ID događaja 12-14). Najlakši način da se dodate u autorun je da se registrujete u registru. Sigurnosni dnevnik to može, ali Sysmon pokazuje ko je izvršio promjene, kada, odakle, ID procesa i prethodnu vrijednost ključa.
Kreiranje fajla (ID događaja 11). Sysmon, в отличие от Security Log, покажет не только расположение файла, но и его имя. Понятно, что за всем не уследишь, но можно же проводить аудит определённых директорий.
A sada šta nije u politikama sigurnosnog dnevnika, ali je u Sysmonu:
Promjena vremena kreiranja fajla (ID događaja 2). Neki zlonamjerni softveri mogu lažirati datum kreiranja fajla kako bi ga sakrili od izvještaja o nedavno kreiranim datotekama.
Učitavanje drajvera i dinamičkih biblioteka (ID-ovi događaja 6-7). Отслеживание загрузки в память DLL и драйверов устройств, проверка цифровой подписи и её валидности.
Kreirajte nit u pokrenutom procesu (ID događaja 8). Jedna vrsta napada koju takođe treba pratiti.
RawAccessRead događaji (ID događaja 9). Операции чтения с диска при помощи “.”. В абсолютном большинстве случаев такая активность должна считаться ненормальной.
Kreirajte imenovani tok datoteke (ID događaja 15). Событие регистрируется, когда создается именованный файловый поток, который генерирует события с хэшем содержимого файла.
Kreiranje imenovane cijevi i veze (ID događaja 17-18). Praćenje zlonamjernog koda koji komunicira s drugim komponentama preko imenovane cijevi.
WMI aktivnost (ID događaja 19). Registracija događaja koji se generišu prilikom pristupa sistemu preko WMI protokola.
Da biste zaštitili sam Sysmon, trebate pratiti događaje sa ID 4 (Sysmon zaustavljanje i pokretanje) i ID 16 (promjene Sysmon konfiguracije).
Power Shell logs
Power Shell je moćan alat za upravljanje Windows infrastrukturom, tako da su velike šanse da će ga napadač izabrati. Postoje dva izvora koja možete koristiti za dobijanje podataka o Power Shell događajima: Windows PowerShell dnevnik i Microsoft-WindowsPowerShell/Operational dnevnik.
Windows PowerShell dnevnik
Provajder podataka je učitan (ID događaja 600). PowerShell dobavljači su programi koji pružaju izvor podataka za PowerShell za pregled i upravljanje. Na primjer, ugrađeni dobavljači mogu biti varijable Windows okruženja ili sistemski registar. Pojava novih dobavljača mora se pratiti kako bi se na vrijeme otkrila zlonamjerna aktivnost. Na primjer, ako vidite da se WSMan pojavljuje među dobavljačima, tada je pokrenuta udaljena PowerShell sesija.
Microsoft-WindowsPowerShell / Operational log (или MicrosoftWindows-PowerShellCore / Operational в PowerShell 6)
Evidentiranje modula (ID događaja 4103). Događaji pohranjuju informacije o svakoj izvršenoj komandi i parametrima s kojima je pozvana.
Evidentiranje blokiranja skripte (ID događaja 4104). Evidentiranje blokiranja skripte prikazuje svaki izvršeni blok PowerShell koda. Čak i ako napadač pokuša da sakrije komandu, ovaj tip događaja će pokazati PowerShell komandu koja je stvarno izvršena. Ovaj tip događaja također može evidentirati neke API pozive niskog nivoa koji se upućuju, ovi događaji se obično bilježe kao Opširno, ali ako se sumnjiva komanda ili skripta koristi u bloku koda, bit će zabilježena kao ozbiljnost upozorenja.
Обратите внимание, что после настройки инструмента сбора и анализа этих событий потребуется дополнительное время на отладку для снижения количества ложных срабатываний.
Recite nam u komentarima koje evidencije prikupljate za revizije sigurnosti informacija i koje alate koristite za to. Jedna od naših područja fokusa su rješenja za reviziju događaja sigurnosti informacija. Kako bismo riješili problem prikupljanja i analize dnevnika, možemo predložiti da se detaljnije pogleda , который умеет сжимать хранящиеся данные с коэффициентом 20:1, а один его установленный экземпляр способен обрабатывать до 60000 событий в секунду из 10000 источников.
izvor: www.habr.com