Y weithfan defnyddiwr yw pwynt mwyaf agored i niwed y seilwaith o ran diogelwch gwybodaeth. Gall defnyddwyr dderbyn llythyr i'w e-bost gwaith sy'n ymddangos i fod o ffynhonnell ddiogel, ond gyda dolen i wefan heintiedig. Efallai y bydd rhywun yn lawrlwytho cyfleustodau defnyddiol ar gyfer gwaith o leoliad anhysbys. Gallwch, gallwch ddod o hyd i ddwsinau o achosion o sut y gall malware ymdreiddio i adnoddau corfforaethol mewnol trwy ddefnyddwyr. Felly, mae angen mwy o sylw ar weithfannau, ac yn yr erthygl hon byddwn yn dweud wrthych ble a pha ddigwyddiadau i'w cymryd i fonitro ymosodiadau.
Er mwyn canfod ymosodiad ar y cam cynharaf posibl, mae gan WINdows dair ffynhonnell ddefnyddiol o ddigwyddiadau: y Log Digwyddiad Diogelwch, y Log Monitro System, a'r Logiau Power Shell.
Log Digwyddiad Diogelwch
Dyma'r prif leoliad storio ar gyfer logiau diogelwch system. Mae hyn yn cynnwys digwyddiadau o fewngofnodi/allgofnodi defnyddwyr, mynediad at wrthrychau, newidiadau polisi a gweithgareddau eraill sy'n ymwneud â diogelwch. Wrth gwrs, os caiff y polisi priodol ei ffurfweddu.
Nifer y defnyddwyr a'r grwpiau (digwyddiadau 4798 a 4799). Ar ddechrau ymosodiad, mae malware yn aml yn chwilio trwy gyfrifon defnyddwyr lleol a grwpiau lleol ar weithfan i ddod o hyd i gymwysterau ar gyfer ei drafodion cysgodol. Bydd y digwyddiadau hyn yn helpu i ganfod cod maleisus cyn iddo symud ymlaen a, gan ddefnyddio'r data a gasglwyd, yn lledaenu i systemau eraill.
Creu cyfrif lleol a newidiadau mewn grwpiau lleol (digwyddiadau 4720, 4722-4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 a 5377). Gall yr ymosodiad hefyd ddechrau, er enghraifft, trwy ychwanegu defnyddiwr newydd i'r grŵp gweinyddwyr lleol.
Ymdrechion mewngofnodi gyda chyfrif lleol (digwyddiad 4624). Mae defnyddwyr parchus yn mewngofnodi gyda chyfrif parth, a gall nodi mewngofnodi o dan gyfrif lleol olygu dechrau ymosodiad. Mae Digwyddiad 4624 hefyd yn cynnwys mewngofnodi o dan gyfrif parth, felly wrth brosesu digwyddiadau, mae angen i chi hidlo digwyddiadau lle mae'r parth yn wahanol i enw'r gweithfan.
Ymgais i fewngofnodi gyda'r cyfrif penodedig (digwyddiad 4648). Mae hyn yn digwydd pan fydd y broses yn rhedeg yn y modd "rhedeg fel". Ni ddylai hyn ddigwydd yn ystod gweithrediad arferol systemau, felly rhaid rheoli digwyddiadau o'r fath.
Cloi/datgloi'r weithfan (digwyddiadau 4800-4803). Mae'r categori o ddigwyddiadau amheus yn cynnwys unrhyw gamau a ddigwyddodd ar weithfan dan glo.
Newidiadau cyfluniad mur gwarchod (digwyddiadau 4944-4958). Yn amlwg, wrth osod meddalwedd newydd, efallai y bydd gosodiadau cyfluniad y wal dân yn newid, a fydd yn achosi positifau ffug. Yn y rhan fwyaf o achosion, nid oes angen rheoli newidiadau o'r fath, ond yn bendant ni fydd yn brifo gwybod amdanynt.
Cysylltu dyfeisiau Plug'n'play (digwyddiad 6416 a dim ond ar gyfer Windows 10). Mae'n bwysig cadw llygad ar hyn os nad yw defnyddwyr fel arfer yn cysylltu dyfeisiau newydd â'r weithfan, ond yn sydyn maen nhw'n gwneud hynny.
Mae Windows yn cynnwys 9 categori archwilio a 50 is-gategori i'w mireinio. Y set leiaf o is-gategorïau y dylid eu galluogi yn y gosodiadau:
Logon / Logoff
- Mewngofnodi;
- Allgofnodi;
- Cloi Cyfrif;
- Digwyddiadau Mewngofnodi/Allgofnodi Eraill.
Rheoli Cyfrifon
- Rheoli Cyfrif Defnyddiwr;
- Rheoli Grŵp Diogelwch.
Newid Polisi
- Newid Polisi Archwilio;
- Newid Polisi Dilysu;
- Newid Polisi Awdurdodi.
Monitor System (Sysmon)
Mae Sysmon yn gyfleustodau sydd wedi'i ymgorffori yn Windows sy'n gallu cofnodi digwyddiadau yn log y system. Fel arfer mae angen i chi ei osod ar wahân.
Gellir dod o hyd i'r un digwyddiadau hyn, mewn egwyddor, yn y log diogelwch (trwy alluogi'r polisi archwilio dymunol), ond mae Sysmon yn darparu mwy o fanylion. Pa ddigwyddiadau y gellir eu cymryd o Sysmon?
Creu prosesau (ID digwyddiad 1). Gall log digwyddiad diogelwch y system hefyd ddweud wrthych pryd y dechreuodd exe * a hyd yn oed ddangos ei enw a'i lwybr lansio. Ond yn wahanol i Sysmon, ni fydd yn gallu dangos hash y cais. Gellir galw meddalwedd maleisus hyd yn oed yn notepad.exe diniwed, ond y stwnsh fydd yn dod ag ef i'r amlwg.
Cysylltiadau Rhwydwaith (ID Digwyddiad 3). Yn amlwg, mae yna lawer o gysylltiadau rhwydwaith, ac mae'n amhosib cadw golwg arnyn nhw i gyd. Ond mae'n bwysig ystyried y gall Sysmon, yn wahanol i Log Diogelwch, rwymo cysylltiad rhwydwaith â'r meysydd ProcessID a ProcessGUID, a dangos cyfeiriadau porthladd a IP y ffynhonnell a'r cyrchfan.
Newidiadau yn y gofrestr system (ID digwyddiad 12-14). Y ffordd hawsaf o ychwanegu eich hun at autorun yw cofrestru yn y gofrestrfa. Gall Log Diogelwch wneud hyn, ond mae Sysmon yn dangos pwy wnaeth y newidiadau, pryd, o ble, proses ID a'r gwerth allweddol blaenorol.
Creu ffeil (ID digwyddiad 11). Bydd Sysmon, yn wahanol i Log Diogelwch, yn dangos nid yn unig leoliad y ffeil, ond hefyd ei henw. Mae'n amlwg na allwch gadw golwg ar bopeth, ond gallwch archwilio rhai cyfeiriaduron.
Ac yn awr yr hyn nad yw mewn polisïau Log Diogelwch, ond sydd yn Sysmon:
Newid amser creu ffeil (ID Digwyddiad 2). Gall rhai malware ffugio dyddiad creu ffeil i'w guddio rhag adroddiadau o ffeiliau a grëwyd yn ddiweddar.
Llwytho gyrwyr a llyfrgelloedd deinamig (IDs digwyddiad 6-7). Monitro llwytho DLLs a gyrwyr dyfeisiau i'r cof, gan wirio'r llofnod digidol a'i ddilysrwydd.
Creu edefyn mewn proses redeg (ID digwyddiad 8). Un math o ymosodiad sydd angen ei fonitro hefyd.
Digwyddiadau RawAccessRead (Digwyddiad ID 9). Gweithrediadau darllen disg gan ddefnyddio “.”. Yn y mwyafrif helaeth o achosion, dylid ystyried gweithgaredd o'r fath yn annormal.
Creu ffrwd ffeil a enwir (ID digwyddiad 15). Mae digwyddiad yn cael ei gofnodi pan fydd ffrwd ffeil a enwir yn cael ei chreu sy'n allyrru digwyddiadau gyda stwnsh o gynnwys y ffeil.
Creu pibell a chysylltiad a enwir (ID digwyddiad 17-18). Olrhain cod maleisus sy'n cyfathrebu â chydrannau eraill trwy'r bibell a enwir.
Gweithgaredd WMI (digwyddiad ID 19). Cofrestru digwyddiadau a gynhyrchir wrth gyrchu'r system trwy brotocol WMI.
Er mwyn amddiffyn Sysmon ei hun, mae angen i chi fonitro digwyddiadau gydag ID 4 (Sysmon stopio a chychwyn) ac ID 16 (newidiadau cyfluniad Sysmon).
Logiau Shell Power
Mae Power Shell yn offeryn pwerus ar gyfer rheoli seilwaith Windows, felly mae'n debygol iawn y bydd ymosodwr yn ei ddewis. Mae dwy ffynhonnell y gallwch eu defnyddio i gael data digwyddiad Power Shell: log Windows PowerShell a log Microsoft-WindowsPowerShell / Gweithredol.
Log Windows PowerShell
Darparwr data wedi'i lwytho (ID digwyddiad 600). Mae darparwyr PowerShell yn rhaglenni sy'n darparu ffynhonnell ddata i PowerShell ei gweld a'i rheoli. Er enghraifft, gallai darparwyr adeiledig fod yn newidynnau amgylchedd Windows neu gofrestrfa'r system. Rhaid monitro ymddangosiad cyflenwyr newydd er mwyn canfod gweithgaredd maleisus mewn pryd. Er enghraifft, os gwelwch WSMan yn ymddangos ymhlith y darparwyr, yna mae sesiwn PowerShell o bell wedi'i chychwyn.
Microsoft-WindowsPowerShell / Log gweithredol (neu MicrosoftWindows-PowerShellCore / Gweithredol yn PowerShell 6)
Logio modiwlau (ID digwyddiad 4103). Mae digwyddiadau yn storio gwybodaeth am bob gorchymyn a weithredir a'r paramedrau y cafodd ei alw.
Logio blocio sgriptiau (ID digwyddiad 4104). Mae logio blocio sgriptiau yn dangos pob bloc o god PowerShell a weithredwyd. Hyd yn oed os yw ymosodwr yn ceisio cuddio'r gorchymyn, bydd y math hwn o ddigwyddiad yn dangos y gorchymyn PowerShell a weithredwyd mewn gwirionedd. Gall y math hwn o ddigwyddiad hefyd logio rhai galwadau API lefel isel sy'n cael eu gwneud, mae'r digwyddiadau hyn fel arfer yn cael eu cofnodi fel Verbose, ond os defnyddir gorchymyn neu sgript amheus mewn bloc o god, bydd yn cael ei gofnodi fel difrifoldeb Rhybudd.
Sylwch, unwaith y bydd yr offeryn wedi'i ffurfweddu i gasglu a dadansoddi'r digwyddiadau hyn, bydd angen amser dadfygio ychwanegol i leihau nifer y positifau ffug.
Dywedwch wrthym yn y sylwadau pa logiau rydych chi'n eu casglu ar gyfer archwiliadau diogelwch gwybodaeth a pha offer rydych chi'n eu defnyddio ar gyfer hyn. Un o'n meysydd ffocws yw atebion ar gyfer archwilio digwyddiadau diogelwch gwybodaeth. Er mwyn datrys y broblem o gasglu a dadansoddi logiau, gallwn awgrymu edrych yn agosach arnynt , sy'n gallu cywasgu data sydd wedi'i storio gyda chymhareb o 20:1, ac mae un enghraifft wedi'i gosod ohono yn gallu prosesu hyd at 60000 o ddigwyddiadau yr eiliad o 10000 o ffynonellau.
Ffynhonnell: hab.com