Ang workstation sa gumagamit mao ang labing huyang nga punto sa imprastraktura sa mga termino sa kasiguruhan sa kasayuran. Ang mga tiggamit mahimo’g makadawat usa ka sulat sa ilang email sa trabaho nga ingon gikan sa luwas nga gigikanan, apan adunay usa ka link sa usa ka nataptan nga site. Tingali adunay mag-download sa usa ka utility nga mapuslanon alang sa trabaho gikan sa wala mailhi nga lokasyon. Oo, makahimo ka og daghang mga kaso kung giunsa ang malware makalusot sa internal nga mga kapanguhaan sa korporasyon pinaagi sa mga tiggamit. Busa, ang mga workstation nanginahanglan dugang nga atensyon, ug sa kini nga artikulo isulti namon kanimo kung asa ug unsa nga mga panghitabo ang himuon aron ma-monitor ang mga pag-atake.
Aron mahibal-an ang usa ka pag-atake sa labing una nga posible nga yugto, ang WIndows adunay tulo ka mapuslanon nga gigikanan sa panghitabo: ang Log sa Panghitabo sa Seguridad, ang Log sa Pag-monitor sa System, ug ang Mga Log sa Power Shell.
Log sa Panghitabo sa Seguridad
Kini ang panguna nga lokasyon sa pagtipig alang sa mga log sa seguridad sa sistema. Naglakip kini sa mga panghitabo sa pag-log in/pag-logout sa user, pag-access sa mga butang, pagbag-o sa palisiya, ug uban pang kalihokan nga may kalabotan sa seguridad. Siyempre, kung ang angay nga palisiya gi-configure.
Pag-ihap sa mga tiggamit ug grupo (mga panghitabo 4798 ug 4799). Sa sinugdanan pa lang sa usa ka pag-atake, kasagarang mangita ang malware pinaagi sa mga lokal nga user account ug mga lokal nga grupo sa usa ka workstation aron makakitag mga kredensyal alang sa dili maayo nga mga pakigsabot niini. Kini nga mga panghitabo makatabang sa pag-ila sa malisyoso nga code sa dili pa kini magpadayon ug, gamit ang nakolekta nga datos, mokaylap sa ubang mga sistema.
Paghimo og lokal nga asoy ug mga kausaban sa lokal nga mga grupo (mga panghitabo 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 ug 5377). Ang pag-atake mahimo usab nga magsugod, pananglitan, pinaagi sa pagdugang usa ka bag-ong tiggamit sa lokal nga grupo sa mga tagdumala.
Mga pagsulay sa pag-login gamit ang lokal nga account (panghitabo 4624). Ang mga respetado nga tiggamit mag-log in gamit ang usa ka domain account, ug ang pag-ila sa usa ka login ubos sa usa ka lokal nga account mahimong magpasabot sa pagsugod sa usa ka pag-atake. Ang panghitabo 4624 naglakip usab sa mga pag-login ubos sa usa ka domain account, mao nga sa pagproseso sa mga panghitabo, kinahanglan nimo nga i-filter ang mga panghitabo diin ang domain lahi sa ngalan sa workstation.
Usa ka pagsulay sa pag-log in gamit ang piho nga account (panghitabo 4648). Kini mahitabo kung ang proseso nagdagan sa "run as" mode. Dili kini mahitabo sa panahon sa normal nga operasyon sa mga sistema, busa kinahanglan nga kontrolon ang ingon nga mga panghitabo.
Pag-lock/pag-abli sa workstation (mga panghitabo 4800-4803). Ang kategorya sa mga kadudahang panghitabo naglakip sa bisan unsang mga aksyon nga nahitabo sa usa ka naka-lock nga workstation.
Mga pagbag-o sa pagsumpo sa firewall (mga panghitabo 4944-4958). Dayag nga, kung mag-install og bag-ong software, ang mga setting sa pagsumpo sa firewall mahimong mausab, nga magpahinabog mga sayup nga positibo. Sa kadaghanan nga mga kaso, dili kinahanglan nga kontrolon ang ingon nga mga pagbag-o, apan siguradong dili makadaot nga mahibal-an ang bahin niini.
Pagkonekta sa mga aparato nga Plug'n'play (panghitabo 6416 ug alang lamang sa Windows 10). Mahinungdanon nga bantayan kini kung ang mga tiggamit kasagaran dili magkonektar sa mga bag-ong aparato sa workstation, apan kalit nga ilang gibuhat.
Ang Windows naglakip sa 9 ka mga kategorya sa pag-audit ug 50 ka mga subkategorya alang sa maayong pag-tune. Ang minimum nga set sa mga subcategory nga kinahanglan nga magamit sa mga setting:
Login / Logoff
- Logon;
- Logoff;
- Lockout sa Account;
- Uban pang Logon/Logoff nga mga Hitabo.
Management Account
- Pagdumala sa User Account;
- Pagdumala sa Grupo sa Seguridad.
Pagbag-o sa Polisiya
- Pagbag-o sa Polisiya sa Audit;
- Pagbag-o sa Polisiya sa Pagpamatuod;
- Pagbag-o sa Patakaran sa Awtorisasyon.
System Monitor (Sysmon)
Ang Sysmon usa ka utility nga gitukod sa Windows nga makarekord sa mga panghitabo sa log sa sistema. Kasagaran kinahanglan nimo nga i-install kini nga gilain.
Kining sama nga mga panghitabo mahimo, sa prinsipyo, makit-an sa log sa seguridad (pinaagi sa pagpagana sa gitinguha nga polisiya sa pag-audit), apan ang Sysmon naghatag ug dugang nga detalye. Unsa nga mga panghitabo ang makuha gikan sa Sysmon?
Proseso sa paghimo (event ID 1). Ang log sa panghitabo sa seguridad sa sistema mahimo usab nga isulti kanimo kung kanus-a nagsugod ang usa ka *.exe ug gipakita pa gani ang ngalan niini ug agianan sa paglansad. Apan dili sama sa Sysmon, dili kini makapakita sa hash sa aplikasyon. Ang malisyosong software mahimong tawgon pa gani nga dili makadaot nga notepad.exe, apan kini ang hash nga magdala niini sa kahayag.
Mga Koneksyon sa Network (Event ID 3). Dayag, adunay daghang mga koneksyon sa network, ug imposible nga masubay silang tanan. Apan importante nga hunahunaon nga ang Sysmon, dili sama sa Security Log, makagapos sa koneksyon sa network ngadto sa ProcessID ug ProcessGUID nga mga natad, ug nagpakita sa pantalan ug mga IP address sa tinubdan ug destinasyon.
Mga pagbag-o sa sistema sa rehistro (event ID 12-14). Ang labing kadali nga paagi aron madugang ang imong kaugalingon sa autorun mao ang pagparehistro sa rehistro. Mahimo kini sa Log sa Seguridad, apan gipakita ni Sysmon kung kinsa ang naghimo sa mga pagbag-o, kanus-a, gikan diin, proseso ang ID ug ang miaging yawe nga kantidad.
Paghimo sa file (event ID 11). Ang Sysmon, dili sama sa Security Log, magpakita dili lamang sa lokasyon sa file, apan usab sa ngalan niini. Klaro nga dili nimo masubay ang tanan, apan mahimo nimong i-audit ang pipila nga mga direktoryo.
Ug karon kung unsa ang wala sa mga palisiya sa Security Log, apan naa sa Sysmon:
Pagbag-o sa oras sa paghimo sa file (Event ID 2). Ang ubang mga malware mahimong makalimbong sa petsa sa paghimo sa file aron matago kini gikan sa mga taho sa bag-o lang nabuhat nga mga file.
Nagkarga sa mga drayber ug dinamikong mga librarya (mga ID sa panghitabo 6-7). Pag-monitor sa pagkarga sa mga DLL ug mga driver sa device ngadto sa memorya, pagsusi sa digital signature ug sa pagkabalido niini.
Paghimo usa ka hilo sa usa ka proseso nga nagdagan (event ID 8). Usa ka matang sa pag-atake nga kinahanglan usab nga bantayan.
Mga Hitabo sa RawAccessRead (Event ID 9). Mga operasyon sa pagbasa sa disk gamit ang ".". Sa kadaghanan sa mga kaso, ang ingon nga kalihokan kinahanglan isipon nga dili normal.
Paghimo og usa ka ginganlan nga file stream (event ID 15). Ang usa ka panghitabo natala kung ang usa ka ngalan nga file stream gihimo nga nagpagawas sa mga panghitabo nga adunay usa ka hash sa mga sulud sa file.
Paghimo og ginganlan nga tubo ug koneksyon (event ID 17-18). Pagsubay sa malisyoso nga code nga nakigsulti sa ubang mga sangkap pinaagi sa ginganlan nga tubo.
Kalihokan sa WMI (event ID 19). Pagrehistro sa mga panghitabo nga namugna sa dihang nag-access sa sistema pinaagi sa WMI protocol.
Aron mapanalipdan ang Sysmon mismo, kinahanglan nimo nga bantayan ang mga panghitabo nga adunay ID 4 (Paghunong ug pagsugod sa Sysmon) ug ID 16 (Mga pagbag-o sa pag-configure sa Sysmon).
Mga Log sa Power Shell
Ang Power Shell usa ka gamhanan nga himan alang sa pagdumala sa imprastraktura sa Windows, busa dako ang kahigayonan nga usa ka tig-atake ang mopili niini. Adunay duha ka tinubdan nga imong magamit aron makakuha og datos sa panghitabo sa Power Shell: Windows PowerShell log ug Microsoft-WindowsPowerShell/Operational log.
Log sa Windows PowerShell
Data provider load (event ID 600). Ang PowerShell providers kay mga programa nga naghatag ug tinubdan sa datos para makita ug madumala sa PowerShell. Pananglitan, ang mga built-in nga provider mahimong Windows environment variables o ang system registry. Ang pagtumaw sa bag-ong mga suppliers kinahanglan nga bantayan aron mahibal-an ang makadaot nga kalihokan sa oras. Pananglitan, kung imong makita ang WSMan nga nagpakita sa mga provider, unya usa ka hilit nga sesyon sa PowerShell ang gisugdan.
Microsoft-WindowsPowerShell / Operational log (o MicrosoftWindows-PowerShellCore / Operational sa PowerShell 6)
Module logging (event ID 4103). Ang mga panghitabo nagtipig og impormasyon mahitungod sa matag gipatuman nga sugo ug ang mga parameter diin kini gitawag.
Script blocking logging (event ID 4104). Ang script blocking logging nagpakita sa matag block sa PowerShell code nga gipatuman. Bisan kung ang usa ka tig-atake mosulay sa pagtago sa sugo, kini nga matang sa panghitabo magpakita sa PowerShell nga sugo nga aktuwal nga gipatuman. Kini nga matang sa panghitabo mahimo usab nga mag-log sa pipila ka ubos nga lebel sa mga tawag sa API nga gihimo, kini nga mga panghitabo kasagarang girekord isip Verbose, apan kung ang usa ka kadudahan nga sugo o script gigamit sa usa ka block sa code, kini ma-log ingon nga usa ka Pasidaan nga kagrabe.
Palihug timan-i nga sa higayon nga ang himan ma-configure aron sa pagkolekta ug pag-analisar niini nga mga panghitabo, dugang nga oras sa pag-debug ang gikinahanglan aron makunhuran ang gidaghanon sa mga sayop nga positibo.
Sultihi kami sa mga komento kung unsang mga troso ang imong gikolekta alang sa mga pag-audit sa seguridad sa kasayuran ug kung unsang mga himan ang imong gigamit alang niini. Usa sa among gipunting mao ang mga solusyon alang sa pag-audit sa mga panghitabo sa seguridad sa impormasyon. Aron masulbad ang problema sa pagkolekta ug pag-analisar sa mga troso, makasugyot kami nga susihon pag-ayo , nga maka-compress sa gitipigan nga datos nga adunay ratio nga 20:1, ug ang usa nga na-install nga pananglitan niini makahimo sa pagproseso hangtod sa 60000 nga mga panghitabo matag segundo gikan sa 10000 nga gigikanan.
Source: www.habr.com