Cyhoeddwyd rhyddhau fersiwn 12 o Sysmon ar Fedi 17 yn . Mewn gwirionedd, rhyddhawyd fersiynau newydd o Process Monitor a ProcDump ar y diwrnod hwn hefyd. Yn yr erthygl hon byddaf yn siarad am arloesi allweddol a dadleuol fersiwn 12 o Sysmon - y math o ddigwyddiadau gyda Event ID 24, y mae gwaith gyda'r clipfwrdd wedi'i logio iddynt.
Mae gwybodaeth o'r math hwn o ddigwyddiad yn agor cyfleoedd newydd i fonitro gweithgarwch amheus (yn ogystal Γ’ gwendidau newydd). Felly, gallwch chi ddeall pwy, ble a beth yn union y gwnaethon nhw geisio ei gopΓ―o. O dan y toriad mae disgrifiad o rai meysydd o'r digwyddiad newydd a chwpl o achosion defnydd.
Mae'r digwyddiad newydd yn cynnwys y meysydd canlynol:
Image: y broses yr ysgrifennwyd data ohoni i'r clipfwrdd.
Sesiwn: y sesiwn yr ysgrifennwyd y clipfwrdd ynddo. Gallai fod yn system (0)
wrth weithio ar-lein neu o bell, ac ati.
Gwybodaeth Cleient: yn cynnwys enw defnyddiwr y sesiwn ac, yn achos sesiwn o bell, yr enw gwesteiwr a'r cyfeiriad IP gwreiddiol, os yw ar gael.
hashes: yn pennu enw'r ffeil lle cafodd y testun a gopΓ―wyd ei gadw (yn debyg i weithio gyda digwyddiadau o'r math FileDelete).
Wedi'i archifo: statws, a gafodd y testun o'r clipfwrdd ei gadw yng nghyfeiriadur archif Sysmon.
Mae'r ddau faes olaf yn frawychus. Y ffaith yw y gall Sysmon ers fersiwn 11 (gyda gosodiadau priodol) arbed data amrywiol i'w gyfeiriadur archif. Er enghraifft, mae Event ID 23 yn cofnodi digwyddiadau dileu ffeiliau a gall eu cadw i gyd yn yr un cyfeiriadur archif. Mae'r tag CLIP yn cael ei ychwanegu at enw'r ffeiliau a grΓ«wyd o ganlyniad i weithio gyda'r clipfwrdd. Mae'r ffeiliau eu hunain yn cynnwys yr union ddata a gopΓ―wyd i'r clipfwrdd.
Dyma sut olwg sydd ar y ffeil sydd wedi'i chadw
Mae cadw i ffeil yn cael ei alluogi yn ystod gosod. Gallwch osod rhestrau gwyn o brosesau na fydd testun yn cael ei gadw ar eu cyfer.
Dyma sut olwg sydd ar osodiad Sysmon gyda'r gosodiadau cyfeiriadur archif priodol:
Yma, rwy'n meddwl, mae'n werth cofio rheolwyr cyfrinair sydd hefyd yn defnyddio'r clipfwrdd. Bydd cael Sysmon ar system gyda rheolwr cyfrinair yn caniatΓ‘u i chi (neu ymosodwr) ddal y cyfrineiriau hynny. Gan dybio eich bod yn gwybod pa broses sy'n dyrannu'r testun a gopΓ―wyd (ac nid dyma'r broses rheolwr cyfrinair bob amser, ond efallai rhywfaint o svchost), gellir ychwanegu'r eithriad hwn at y rhestr wen a pheidio Γ’'i gadw.
Efallai nad ydych chi'n gwybod, ond mae'r testun o'r clipfwrdd yn cael ei ddal gan y gweinydd pell pan fyddwch chi'n newid iddo yn y modd sesiwn RDP. Os oes gennych rywbeth ar eich clipfwrdd a'ch bod yn newid rhwng sesiynau RDP, bydd y wybodaeth honno'n teithio gyda chi.
Gadewch i ni grynhoi galluoedd Sysmon ar gyfer gweithio gyda'r clipfwrdd.
Sefydlog:
- Copi testun o destun wedi'i gludo trwy'r Cynllun Datblygu Gwledig ac yn lleol;
- Casglu data o'r clipfwrdd trwy wahanol gyfleustodau / prosesau;
- CopΓ―wch/gludwch destun o/i'r peiriant rhithwir lleol, hyd yn oed os nad yw'r testun hwn wedi'i ludo eto.
Heb ei gofnodi:
- CopΓ―o/gludo ffeiliau o/i beiriant rhithwir lleol;
- CopΓ―o/gludo ffeiliau trwy'r Cynllun Datblygu Gwledig
- Mae drwgwedd sy'n herwgipio'ch clipfwrdd yn ysgrifennu at y clipfwrdd ei hun yn unig.
Er gwaethaf ei amwysedd, bydd y math hwn o ddigwyddiad yn caniatΓ‘u ichi adfer algorithm gweithredoedd yr ymosodwr a helpu i nodi data anhygyrch yn flaenorol ar gyfer ffurfio post-mortem ar Γ΄l ymosodiadau. Os yw ysgrifennu cynnwys i'r clipfwrdd yn dal i gael ei alluogi, mae'n bwysig cofnodi pob mynediad i'r cyfeiriadur archif a nodi rhai a allai fod yn beryglus (heb eu cychwyn gan sysmon.exe).
I gofnodi, dadansoddi ac ymateb i'r digwyddiadau a restrir uchod, gallwch ddefnyddio'r offeryn , sy'n cyfuno pob un o'r tri dull ac, yn ogystal, yn ystorfa ganolog effeithiol o'r holl ddata crai a gasglwyd. Gallwn ffurfweddu ei integreiddio Γ’ systemau SIEM poblogaidd i leihau cost eu trwyddedu trwy drosglwyddo prosesu a storio data crai i InTrust.
I ddysgu mwy am InTrust, darllenwch ein herthyglau blaenorol neu .
(erthygl boblogaidd)
Ffynhonnell: hab.com