Questu articulu hè a prima parte di una seria nantu à l'analisi di e minacce Sysmon. Tutte l'altri parti di a serie:
Parte 1. Introduzione à l'analisi di logs Sysmon (semu quì)
Part 2. Utilizendu Dati da Sysmon Events per Detect Threats
Part 3: Deep Sysmon Threat Analysis cù Grafici
Sè vo site implicatu in a sicurità di l'infurmazioni, probabilmente avete spessu à capisce l'attacchi in corso. Sì avete digià un ochju furmatu, pudete circà l'attività non standard in i logs "crudi" - per dì, un script PowerShell in esecuzione.
Vulete capisce l'idee basi daretu à e minacce affissate in u log Sysmon? Scaricate a nostra guida
In a prima parte di a nostra serie, vedemu ciò chì pudemu fà cù l'infurmazioni basi di Sysmon. In a seconda parte, sfrutteremu pienamente l'infurmazioni di u prucessu di i genitori per creà strutture di cunfurmità più cumplesse cunnisciute cum'è grafici di minaccia. In a terza parte, guardemu un algoritmu simplice chì scansa u gràficu di a minaccia per l'attività non standard per mezu di l'analisi di u "pesu" di u gràficu. È à a fine, cum'è ricumpensa, truverete un metudu probabilisticu pulitu (è comprensibile) per a deteczione di minacce.
Parte 1: Introduzione di Sysmon Log Analysis
Ciò chì aiuterà à capisce a cumplessità di u logu di l'eventi? Infine, SIEM. Normalizeghja l'avvenimenti è simplificà a so analisi sussegwenti. Ma ùn avemu micca da andà cusì luntanu, almenu prima. À u principiu, per capiscenu i principii di SIEM, serà abbastanza per pruvà a maravigliosa utilità gratuita Sysmon. È hè sorprendentemente faciule di travaglià cun ella. Continua cusì, Microsoft!
Chì sò e caratteristiche di Sysmon?
In corta, infurmazione utile è leghjite nantu à i prucessi (vede l'imagine sottu). Truverete una mansa di dettagli utili chì ùn sò micca in u logu di l'avvenimenti di Windows, ma i più impurtanti sò i seguenti campi:
- ID di prucessu (in decimali, micca esadecimale!)
- ID di prucessu parenti
- Linea di cummanda di prucessu
- Linea di cummanda di prucessu parenti
- File image hash
- Nomi d'Image di File
Sysmon hè stallatu cum'è un driver di u dispositivu è un serviziu à u stessu tempu - sapete più
Sysmon, invece, face un saltu qualitativu in avanti fornendu informazioni utili (o, cum'è i venditori piacenu à dì, azzione) per aiutà à capisce i prucessi sottostanti. Per esempiu, aghju principiatu una sessione oculta
Qualchese infurmazione nantu à u prucessu hè visibile in u logu di Windows, ma hè di pocu usu. Plus l'ID di prucessu in hex???
Per un prufessore IT prufessiunale cun una cunniscenza di i principii di u pirate, a linea di cummanda deve esse suspettuosa. Utilizà cmd.exe per poi eseguisce un altru cumandamentu cù output reindirizzatu à un schedariu cù un nome stranu - questu hè chjaramente simili à l'azzioni di u software per u cuntrollu è a gestione.
Avà fighjemu un ochju à l'equivalente di una entrata Sysmon, nutendu quantu infurmazione extra ci dà:
Funzioni di Sysmon in una screenshot: infurmazione dettagliata nantu à u prucessu in una forma leggibile
Ùn vede micca solu a linea di cummanda, ma ancu u nome di u schedariu, u percorsu à l'applicazione eseguibile, ciò chì Windows sapi di questu ("Windows Command Processor"), l'identificatore. parenti prucessu, linea di cumanda parente, chì hà lanciatu u cmd shell, è ancu u veru nome di file di u prucessu parent. Tuttu in un locu, infine!
Da u logu di Sysmon, pudemu cuncludi chì, cù un altu gradu di probabilità, sta linea di cumanda sospetta, chì avemu vistu in i logs "crudi", ùn hè micca u risultatu di u travagliu normale di l'impiigatu. Piuttostu, hè stata generata da un prucessu simile à C2 - wmiexec, cum'è l'aghju dettu prima - è hè stata generata direttamente da u prucessu WMI di u serviziu (WmiPrvSe). Avà avemu un indicatore chì un attaccu remotu o insider hè pruvatu l'infrastruttura corporativa per un dente.
Presentazione di Get-Sysmonlogs
Di sicuru, hè grande quandu Sysmon hà logs in un locu. Ma prubabilmente seria ancu megliu se pudemu accede à i campi di log individuali in modu programmaticu - per esempiu, attraversu i cumandamenti PowerShell. In questu casu, saria pussibule di scrive un picculu script PowerShell chì automatizà a ricerca di e minacce potenziali!
Ùn era micca u primu à avè sta idea. È hè bonu chì in certi posti di u foru è GitHub
U primu puntu impurtante hè a capacità di u cumandamentu
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Se vulete pruvà u cumandamentu stessu, affissendu u cuntenutu in u primu elementu di l'array $events, $events[0].Message, pudete pruduce una seria di catene di testu cù un formatu assai simplice: u nome di u Sysmon. campu, un colon, è dopu u valore stessu.
Eura! Uscita di log di Sysmon in formatu JSON-ready
Pensate a listessa cosa chì mè ? Cù un pocu più sforzu, pudete cunvertisce l'output in una stringa in formate JSON è poi caricate direttamente in un oggettu PS cù u cumandamentu putente.
Mostraraghju u codice PowerShell per a cunversione - hè assai simplice - in a prossima parte. Per avà, fighjemu un ochju à ciò chì u mo novu cumandamentu chjamatu get-sysmonlogs, chì aghju stallatu cum'è un modulu PS, pò fà.
Invece di scavà più in profondità in l'analisi di log di Sysmon attraversu l'interfaccia di logu di l'avvenimenti imbarazzante, pudemu cercà senza sforzu l'attività incrementale direttamente da una sessione PowerShell, è ancu aduprà u cumandamentu PS.
Lista di cunchiglia cmd lanciata via WMI. Analisi di e minacce economiche cù a nostra squadra Get-Sysmonlogs
Meravigliosa! Aghju creatu un strumentu di votazione di log Sysmon cum'è s'ellu era una basa di dati. In u nostru articulu nantu
Analisi di Sysmon è graficu
Astrattimu è pensemu à ciò chì avemu appena creatu. Essenzialmente, avemu avà una Database di Eventi Windows accessibile via PowerShell. Comu aghju nutatu prima, ci sò cunnessione o relazioni trà i registri - attraversu ParentProcessId - cusì pudete ottene una gerarchia cumpleta di prucessi.
Sè avete lettu a serie
Ma cù u mo cumandamentu Get-Sysmonlogs è una struttura di dati addiziale chì avemu da guardà più tardi in u testu (un graficu, sicuru), avemu un modu praticu per detectà i minacce - tuttu ciò chì hè necessariu hè di fà una ricerca vertica propria. .
Cum'è sempre in i nostri prughjetti di blog DYI, più travagliate per analizà i dettagli di e minacce in una piccula scala, più vi capisce quantu hè difficiule di detectà i minacce à u livellu di l'urganizazione. È sta realizazione hè estremamente puntu impurtante.
Truvaremu i primi cumplessità interessanti in a seconda parte di l'articulu, induve avemu da cumincià à cunnette l'avvenimenti Sysmon à l'altri in strutture assai più cumplesse.
Source: www.habr.com