L'estació de treball de l'usuari és el punt més vulnerable de la infraestructura pel que fa a la seguretat de la informació. Els usuaris poden rebre una carta al correu electrònic del seu treball que sembla ser d'una font segura, però amb un enllaç a un lloc infectat. Potser algú baixarà una utilitat útil per treballar des d'una ubicació desconeguda. Sí, podeu trobar desenes de casos de com el programari maliciós pot infiltrar-se en recursos corporatius interns a través dels usuaris. Per tant, les estacions de treball requereixen més atenció, i en aquest article us direm on i quins esdeveniments heu de fer per controlar els atacs.
Per detectar un atac el més aviat possible, el WIndows té tres fonts d'esdeveniments útils: el registre d'esdeveniments de seguretat, el registre de monitorització del sistema i els registres de Power Shell.
Registre d'esdeveniments de seguretat
Aquesta és la ubicació d'emmagatzematge principal dels registres de seguretat del sistema. Això inclou esdeveniments d'inici de sessió o tancament de sessió de l'usuari, accés a objectes, canvis de polítiques i altres activitats relacionades amb la seguretat. Per descomptat, si es configura la política adequada.
Enumeració d'usuaris i grups (esdeveniments 4798 i 4799). Al principi d'un atac, el programari maliciós sovint cerca a través de comptes d'usuaris locals i grups locals d'una estació de treball per trobar credencials per als seus negocis ombrívols. Aquests esdeveniments ajudaran a detectar el codi maliciós abans que passi i, utilitzant les dades recollides, es propagui a altres sistemes.
Creació d'un compte local i canvis en grups locals (esdeveniments 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 i 5377). L'atac també pot començar, per exemple, afegint un nou usuari al grup d'administradors locals.
Intents d'inici de sessió amb un compte local (esdeveniment 4624). Els usuaris respectables inicien sessió amb un compte de domini i identificar un inici de sessió amb un compte local pot significar l'inici d'un atac. L'esdeveniment 4624 també inclou els inicis de sessió amb un compte de domini, de manera que quan processeu esdeveniments, heu de filtrar els esdeveniments on el domini sigui diferent del nom de l'estació de treball.
Un intent d'iniciar sessió amb el compte especificat (esdeveniment 4648). Això passa quan el procés s'executa en mode "executa com". Això no hauria de passar durant el funcionament normal dels sistemes, per la qual cosa s'han de controlar aquests esdeveniments.
Bloqueig/desbloqueig de l'estació de treball (esdeveniments 4800-4803). La categoria d'esdeveniments sospitosos inclou qualsevol acció que s'hagi produït en una estació de treball bloquejada.
Canvis en la configuració del tallafoc (esdeveniments 4944-4958). Òbviament, quan instal·leu programari nou, la configuració del tallafoc pot canviar, cosa que provocarà falsos positius. En la majoria dels casos, no cal controlar aquests canvis, però definitivament no farà mal saber-ne.
Connexió de dispositius Plug'n'play (esdeveniment 6416 i només per a Windows 10). És important vigilar-ho si els usuaris no solen connectar nous dispositius a l'estació de treball, però de sobte ho fan.
Windows inclou 9 categories d'auditoria i 50 subcategories per a l'ajustament. El conjunt mínim de subcategories que s'han d'habilitar a la configuració:
Inici de sessió / logotip
- Inici de sessió;
- Sortir;
- Bloqueig de comptes;
- Altres esdeveniments d'inici de sessió / tancament de sessió.
Gestió del compte
- Gestió de comptes d'usuari;
- Gestió de grups de seguretat.
Canvi de política
- Canvi de política d'auditoria;
- Canvi de política d'autenticació;
- Canvi de política d'autorització.
Monitor del sistema (Sysmon)
Sysmon és una utilitat integrada a Windows que pot registrar esdeveniments al registre del sistema. Normalment cal instal·lar-lo per separat.
Aquests mateixos esdeveniments es poden trobar, en principi, al registre de seguretat (activant la política d'auditoria desitjada), però Sysmon ofereix més detalls. Quins esdeveniments es poden extreure de Sysmon?
Creació del procés (ID d'esdeveniment 1). El registre d'esdeveniments de seguretat del sistema també us pot indicar quan s'ha iniciat un *.exe i fins i tot mostrar-ne el nom i la ruta d'inici. Però a diferència de Sysmon, no podrà mostrar el hash de l'aplicació. Fins i tot el programari maliciós pot ser anomenat notepad.exe inofensiu, però és el hash el que el traurà a la llum.
Connexions de xarxa (ID d'esdeveniment 3). Òbviament, hi ha moltes connexions de xarxa i és impossible fer-ne un seguiment de totes. Però és important tenir en compte que Sysmon, a diferència del registre de seguretat, pot vincular una connexió de xarxa als camps ProcessID i ProcessGUID, i mostra el port i les adreces IP de l'origen i la destinació.
Canvis en el registre del sistema (ID d'esdeveniment 12-14). La manera més senzilla d'afegir-se a l'execució automàtica és registrar-se al registre. El registre de seguretat pot fer-ho, però Sysmon mostra qui ha fet els canvis, quan, des d'on, l'identificador de procés i el valor de la clau anterior.
Creació del fitxer (ID d'esdeveniment 11). Sysmon, a diferència del registre de seguretat, mostrarà no només la ubicació del fitxer, sinó també el seu nom. Està clar que no podeu fer un seguiment de tot, però podeu auditar determinats directoris.
I ara el que no està a les polítiques de registre de seguretat, però sí a Sysmon:
Canvi de l'hora de creació del fitxer (ID d'esdeveniment 2). Alguns programes maliciosos poden falsificar la data de creació d'un fitxer per ocultar-lo dels informes dels fitxers creats recentment.
Càrrega de controladors i biblioteques dinàmiques (ID d'esdeveniment 6-7). Supervisió de la càrrega de DLL i controladors de dispositiu a la memòria, comprovació de la signatura digital i la seva validesa.
Creeu un fil en un procés en execució (ID d'esdeveniment 8). Un tipus d'atac que també s'ha de controlar.
Esdeveniments RawAccessRead (ID d'esdeveniment 9). Operacions de lectura de disc amb “.”. En la gran majoria dels casos, aquesta activitat s'ha de considerar anormal.
Creeu un flux de fitxers amb nom (ID d'esdeveniment 15). Es registra un esdeveniment quan es crea un flux de fitxers amb nom que emet esdeveniments amb un hash del contingut del fitxer.
Creació d'una canonada i connexió amb nom (ID d'esdeveniment 17-18). Seguiment de codi maliciós que es comunica amb altres components a través de la canonada anomenada.
Activitat WMI (ID d'esdeveniment 19). Registre d'esdeveniments que es generen en accedir al sistema mitjançant el protocol WMI.
Per protegir el propi Sysmon, heu de supervisar els esdeveniments amb l'ID 4 (Sysmon s'atura i s'inicia) i l'ID 16 (canvis de configuració de Sysmon).
Registres de Power Shell
Power Shell és una eina poderosa per gestionar la infraestructura de Windows, de manera que hi ha moltes possibilitats que un atacant l'esculli. Hi ha dues fonts que podeu utilitzar per obtenir dades d'esdeveniments de Power Shell: registre de Windows PowerShell i registre de Microsoft-WindowsPowerShell/operacional.
Registre de Windows PowerShell
S'ha carregat el proveïdor de dades (ID d'esdeveniment 600). Els proveïdors de PowerShell són programes que proporcionen una font de dades perquè PowerShell pugui veure i gestionar. Per exemple, els proveïdors integrats podrien ser variables d'entorn de Windows o el registre del sistema. S'ha de controlar l'aparició de nous proveïdors per tal de detectar a temps l'activitat maliciosa. Per exemple, si veieu que WSMan apareix entre els proveïdors, s'ha iniciat una sessió de PowerShell remota.
Microsoft-WindowsPowerShell/Registre operatiu (o MicrosoftWindows-PowerShellCore/Operacional a PowerShell 6)
Registre de mòduls (ID d'esdeveniment 4103). Els esdeveniments emmagatzemen informació sobre cada comanda executada i els paràmetres amb els quals es va cridar.
Registre de bloqueig d'scripts (ID d'esdeveniment 4104). El registre de bloqueig d'scripts mostra cada bloc de codi de PowerShell executat. Fins i tot si un atacant intenta ocultar l'ordre, aquest tipus d'esdeveniment mostrarà l'ordre PowerShell que s'ha executat realment. Aquest tipus d'esdeveniment també pot registrar algunes trucades d'API de baix nivell que s'estan realitzant, aquests esdeveniments normalment es registren com a detallats, però si s'utilitza una ordre o un script sospitosos en un bloc de codi, es registrarà com a gravetat d'advertència.
Tingueu en compte que un cop configurada l'eina per recollir i analitzar aquests esdeveniments, caldrà un temps de depuració addicional per reduir el nombre de falsos positius.
Digueu-nos als comentaris quins registres recopileu per a les auditories de seguretat de la informació i quines eines utilitzeu per a això. Una de les nostres àrees d'atenció són les solucions per auditar esdeveniments de seguretat de la informació. Per resoldre el problema de la recollida i l'anàlisi de registres, podem suggerir-ne una ullada més de prop , que pot comprimir les dades emmagatzemades amb una proporció de 20:1, i una instància instal·lada és capaç de processar fins a 60000 esdeveniments per segon des de 10000 fonts.
Font: www.habr.com