A stazione di travagliu di l'utilizatori hè u puntu più vulnerabile di l'infrastruttura in quantu à a sicurità di l'infurmazioni. L'utilizatori ponu riceve una lettera à u so email di travagliu chì pare esse da una fonte sicura, ma cù un ligame à un situ infettatu. Forsi qualcunu scaricarà una utilità utile per u travagliu da un locu scunnisciutu. Iè, pudete vene cun decine di casi di cumu u malware pò infiltrate risorse corporative interne attraversu l'utilizatori. Dunque, e stazioni di travagliu necessitanu una attenzione aumentata, è in questu articulu vi diceremu induve è ciò chì avvenimenti piglià per monitorà l'attacchi.
Per detectà un attaccu in u primu stadiu pussibule, WIndows hà trè fonti d'avvenimenti utili: u logu di l'avvenimenti di sicurezza, u logu di monitoraghju di u sistema è i logs di Power Shell.
Log d'avvenimenti di sicurezza
Questu hè u locu principale di almacenamiento per i logs di sicurezza di u sistema. Questu include avvenimenti di login / logout d'utilizatori, accessu à l'uggetti, cambiamenti di pulitica è altre attività di sicurità. Di sicuru, se a pulitica adatta hè cunfigurata.
Enumerazione di utilizatori è gruppi (eventi 4798 è 4799). À u principiu di un attaccu, u malware spessu cerca à traversu i cunti di l'utilizatori lucali è i gruppi lucali nantu à una stazione di travagliu per truvà credenziali per i so affari ombre. Questi avvenimenti aiutanu à detectà u codice maliziusu prima di passà è, utilizendu e dati raccolti, si sparghje à altri sistemi.
Creazione di un contu lucale è cambiamenti in i gruppi lucali (eventi 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 è 5377). L'attaccu pò ancu principià, per esempiu, aghjunghjendu un novu utilizatore à u gruppu di amministratori lucali.
Tentativi di login cù un contu lucale (avvenimentu 4624). L'utilizatori rispettabili accedenu cù un contu di duminiu, è identificà un login sottu un cuntu lucale pò significà l'iniziu di un attaccu. L'avvenimentu 4624 include ancu logins sottu un cuntu di duminiu, cusì quandu si tratta di l'avvenimenti, avete bisognu di filtrà l'avvenimenti induve u duminiu hè diversu da u nome di a stazione di travagliu.
Un tentativu di login cù u contu specificatu (avvenimentu 4648). Questu succede quandu u prucessu hè in esecuzione in modu "run as". Questu ùn deve micca accade durante u funziunamentu normale di i sistemi, cusì tali avvenimenti deve esse cuntrullati.
Locking / unlocking the workstation (eventi 4800-4803). A categuria di l'avvenimenti sospetti include ogni azzione chì hè accaduta in una stazione di travagliu chjusa.
Cambiamenti di cunfigurazione di u firewall (eventi 4944-4958). Ovviamente, quandu installate un novu software, i paràmetri di cunfigurazione di u firewall pò cambià, chì pruvucarà falsi pusitivi. In a maiò parte di i casi, ùn ci hè bisognu di cuntrullà tali cambiamenti, ma di sicuru ùn ferà micca male per sapè.
Cunnessu i dispositi Plug'n'play (eventu 6416 è solu per Windows 10). Hè impurtante di tene un ochju nantu à questu se l'utilizatori ùn sò micca cunnessi novi dispositi à a stazione di travagliu, ma poi di colpu facenu.
Windows include 9 categurie di auditu è 50 subcategories per a fine-tuning. U settore minimu di sottocategorie chì deve esse attivatu in i paràmetri:
Cunnessione / Cunnessione
- Logon;
- Logoff;
- Lockout di u contu;
- Altri Eventi di Logon/Logoff.
Giurisprudenza
- Gestione di u contu d'utilizatori;
- Gestione di u gruppu di sicurezza.
Cambiamentu di pulitica
- Cambiamentu di pulitica di cuntrollu;
- Cambia di pulitica di autentificazione;
- Cambiamentu di pulitica d'autorizazione.
Monitor di sistema (Sysmon)
Sysmon hè una utilità integrata in Windows chì pò registrà avvenimenti in u logu di u sistema. Di solitu avete bisognu di stallà separatamente.
Sti stessi avvenimenti ponu, in principiu, esse truvati in u logu di sicurità (permettenu a pulitica di auditu desiderata), ma Sysmon furnisce più dettagli. Chì avvenimenti ponu esse pigliati da Sysmon?
Creazione di prucessu (ID d'avvenimentu 1). U logu di l'avvenimenti di sicurezza di u sistema pò ancu dì quandu un *.exe hà iniziatu è ancu mostra u so nome è u percorsu di lanciamentu. Ma à u cuntrariu di Sysmon, ùn serà micca capaci di mostrà l'hash di l'applicazione. U software malicioso pò ancu esse chjamatu notepad.exe innocu, ma hè l'hash chì u purterà à a luce.
Cunnessioni di Rete (ID Eventu 3). Ovviamente, ci sò parechje cunnessione di rete, è hè impussibile di seguità tutti. Ma hè impurtante di cunsiderà chì Sysmon, à u cuntrariu di Security Log, pò ligà una cunnessione di rete à i campi ProcessID è ProcessGUID, è mostra u portu è l'indirizzi IP di a fonte è di destinazione.
Cambiamenti in u registru di u sistema (ID avvenimentu 12-14). U modu più faciule per aghjunghje à l'autorun hè di registrà in u registru. Security Log pò fà questu, ma Sysmon mostra quale hà fattu i cambiamenti, quandu, da induve, prucessu ID è u valore chjave precedente.
Creazione di u schedariu (ID d'avvenimentu 11). Sysmon, à u cuntrariu di Security Log, mostrarà micca solu u locu di u schedariu, ma ancu u so nome. Hè chjaru chì ùn pudete micca seguità tuttu, ma pudete audità certi cartulari.
È avà ciò chì ùn hè micca in e pulitiche di log di sicurezza, ma hè in Sysmon:
Cambiamentu di u tempu di creazione di u schedariu (ID Eventu 2). Certi malware ponu falsificà a data di creazione di un schedariu per ammuccià da i rapporti di i schedari creati recentemente.
Caricà i driver è e librerie dinamiche (ID di l'eventi 6-7). Monitorà a carica di DLL è i driver di u dispositivu in memoria, cuntrollà a firma digitale è a so validità.
Crea un filu in un prucessu in esecuzione (event ID 8). Un tipu d'attaccu chì deve ancu esse monitoratu.
Avvenimenti RawAccessRead (ID d'avvenimentu 9). Operazioni di lettura di u discu utilizendu ".". In a maiò parte di i casi, tali attività deve esse cunsiderate anormali.
Crea un flussu di schedariu chjamatu (ID d'avvenimentu 15). Un avvenimentu hè registratu quandu un flussu di schedariu chjamatu hè creatu chì emette avvenimenti cù un hash di u cuntenutu di u schedariu.
Creazione di una pipa chjamata è cunnessione (ID d'avvenimentu 17-18). Tracking codice maliziusu chì cumunicà cù altri cumpunenti attraversu u pipe chjamatu.
Attività WMI (ID avvenimentu 19). Registrazione di l'avvenimenti chì sò generati quandu accede à u sistema via u protocolu WMI.
Per prutege Sysmon stessu, avete bisognu di monitorà l'avvenimenti cù l'ID 4 (Sysmon stopping and starting) è l'ID 16 (Sysmon cambiamenti di cunfigurazione).
Logs di Power Shell
Power Shell hè un strumentu putente per a gestione di l'infrastruttura di Windows, per quessa, a probabilità hè alta chì un attaccante a sceglie. Ci hè duie fonti chì pudete aduprà per ottene dati di l'avvenimenti di Power Shell: u logu di Windows PowerShell è u logu Microsoft-WindowsPowerShell/Operational.
Log di Windows PowerShell
Fornitore di dati caricatu (evenimentu ID 600). I fornituri di PowerShell sò prugrammi chì furnisce una fonte di dati per PowerShell per vede è gestisce. Per esempiu, i fornituri integrati puderanu esse variabili di l'ambiente Windows o u registru di u sistema. L'emergenza di novi fornituri deve esse monitoratu per detectà attività maliciosa in u tempu. Per esempiu, se vede WSMan chì appare trà i fornituri, allora una sessione PowerShell remota hè stata iniziata.
Microsoft-WindowsPowerShell / Logu operativu (o Microsoft Windows-PowerShellCore / Operativu in PowerShell 6)
Logging di u modulu (ID d'avvenimentu 4103). L'avvenimenti almacenanu l'infurmazioni nantu à ogni cumanda eseguita è i paràmetri cù quale hè statu chjamatu.
Logging di bloccu di script (ID d'avvenimentu 4104). Logging di bloccu di script mostra ogni bloccu di codice PowerShell eseguitu. Ancu s'è un attaccu prova di ammuccià u cumandamentu, stu tipu d'avvenimentu mostrarà u cumandamentu PowerShell chì hè statu eseguitu. Stu tipu d'avvenimentu pò ancu logà alcune chjama API di livellu bassu chì sò fatti, questi avvenimenti sò generalmente arregistrati cum'è Verbose, ma se un cumandamentu suspettu o script hè utilizatu in un bloccu di codice, serà registratu cum'è una gravità d'Avvertimentu.
Per piacè nutate chì una volta chì l'uttellu hè cunfiguratu per cullà è analizà questi avvenimenti, u tempu di debugging supplementu serà necessariu per riduce u numeru di falsi pusitivi.
Diteci in i cumenti chì logs cullighjate per l'auditi di sicurezza di l'infurmazioni è chì strumenti utilizate per questu. Una di e nostre aree di focus hè e soluzioni per audità l'avvenimenti di sicurezza di l'infurmazioni. Per risolve u prublema di cullà è analizà i logs, pudemu suggerisce di piglià un ochju più vicinu , chì pò cumpressà i dati almacenati cù una proporzione di 20: 1, è una istanza installata di questu hè capace di processà finu à 60000 10000 avvenimenti per seconda da XNUMX XNUMX fonti.
Source: www.habr.com