Kasutaja tööjaam on infoturbe seisukohalt infrastruktuuri kõige haavatavam punkt. Kasutajad võivad saada oma töömeilile kirja, mis näib olevat pärit turvalisest allikast, kuid sisaldab linki nakatunud saidile. Võib-olla laadib keegi tundmatust asukohast alla tööks kasuliku utiliidi. Jah, võite tulla välja kümnete juhtumitega, kuidas pahavara võib kasutajate kaudu tungida ettevõtte sisemistesse ressurssidesse. Seetõttu nõuavad tööjaamad suuremat tähelepanu ja selles artiklis räägime teile, kus ja milliseid sündmusi rünnakute jälgimiseks ette võtta.
Rünnaku tuvastamiseks võimalikult varajases staadiumis on WIndowsil kolm kasulikku sündmuste allikat: turvasündmuste logi, süsteemi jälgimise logi ja Power Shelli logid.
Turvasündmuste logi
See on süsteemi turvalogide peamine salvestuskoht. See hõlmab kasutaja sisse-/väljalogimise sündmusi, juurdepääsu objektidele, poliitikamuudatusi ja muid turbega seotud tegevusi. Muidugi, kui vastav poliitika on konfigureeritud.
Kasutajate ja gruppide loendus (sündmused 4798 ja 4799). Rünnaku alguses otsib pahavara sageli kohalike kasutajakontode ja kohalike rühmade kaudu tööjaamas, et leida mandaate oma hämarate tehingute jaoks. Need sündmused aitavad tuvastada pahatahtlikku koodi enne, kui see edasi liigub ja kogutud andmeid kasutades levib teistesse süsteemidesse.
Kohaliku konto loomine ja muudatused kohalikes gruppides (sündmused 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 ja 5377). Rünnak võib alata ka näiteks uue kasutaja lisamisest kohalike administraatorite gruppi.
Sisselogimiskatsed kohaliku kontoga (sündmus 4624). Lugupeetud kasutajad logivad sisse domeenikontoga ja kohaliku konto all oleva sisselogimise tuvastamine võib tähendada rünnaku algust. Sündmus 4624 sisaldab ka sisselogimisi domeenikonto all, seega tuleb sündmuste töötlemisel välja filtreerida sündmused, mille domeen erineb tööjaama nimest.
Katse sisse logida määratud kontoga (sündmus 4648). See juhtub siis, kui protsess töötab režiimis "Käivita kui". Seda ei tohiks juhtuda süsteemide normaalse töötamise ajal, seega tuleb selliseid sündmusi kontrollida.
Tööjaama lukustamine/avamine (sündmused 4800-4803). Kahtlaste sündmuste kategooria hõlmab kõiki lukustatud tööjaamas toimunud toiminguid.
Tulemüüri konfiguratsiooni muudatused (sündmused 4944-4958). Ilmselgelt võivad uue tarkvara installimisel tulemüüri konfiguratsiooni sätted muutuda, mis põhjustab valepositiivseid tulemusi. Enamasti ei ole vaja selliseid muudatusi kontrollida, kuid kindlasti ei tee nendest teada.
Plug'n'play seadmete ühendamine (sündmus 6416 ja ainult Windows 10 jaoks). Oluline on sellel silma peal hoida, kui kasutajad tavaliselt uusi seadmeid tööjaamaga ei ühenda, kuid äkki ühendavad nad seda.
Windows sisaldab 9 auditikategooriat ja 50 alamkategooriat peenhäälestamiseks. Minimaalne alamkategooriate komplekt, mis tuleks seadetes lubada:
Sisselogimine / väljalogimine
- Sisse logima;
- Logi välja;
- Konto lukustamine;
- Muud sisse-/väljalogimissündmused.
Account Management
- Kasutajakonto haldamine;
- Turvagrupi juhtimine.
Poliitika muudatus
- Auditipoliitika muudatus;
- Autentimispoliitika muudatus;
- Autoriseerimispoliitika muudatus.
Süsteemimonitor (Sysmon)
Sysmon on Windowsi sisseehitatud utiliit, mis suudab sündmusi süsteemilogi salvestada. Tavaliselt peate selle eraldi installima.
Need samad sündmused on põhimõtteliselt leitavad turbelogist (lubades soovitud auditipoliitika), kuid Sysmon pakub üksikasjalikumat teavet. Milliseid sündmusi saab Sysmonist võtta?
Protsessi loomine (sündmuse ID 1). Süsteemi turbesündmuste logi võib teile ka teada anda, millal *.exe käivitus, ning kuvada isegi selle nime ja käivitustee. Kuid erinevalt Sysmonist ei saa see rakenduse räsi kuvada. Pahatahtlikku tarkvara võib isegi nimetada kahjutuks notepad.exe, kuid just räsi toob selle päevavalgele.
Võrguühendused (sündmuse ID 3). Ilmselgelt on võrguühendusi palju ja neid kõiki on võimatu jälgida. Kuid on oluline arvestada, et erinevalt turvalogist suudab Sysmon siduda võrguühenduse väljadega ProcessID ja ProcessGUID ning kuvada allika ja sihtkoha pordi ja IP-aadressid.
Muudatused süsteemiregistris (sündmuse ID 12-14). Lihtsaim viis end automaatkäivitusse lisada on registreeruda registris. Turvalogi saab seda teha, kuid Sysmon näitab, kes muudatusi tegi, millal, kust, protsessi ID ja eelmine võtme väärtus.
Faili loomine (sündmuse ID 11). Erinevalt turvalogist ei näita Sysmon mitte ainult faili asukohta, vaid ka selle nime. On selge, et te ei saa kõike jälgida, kuid saate teatud katalooge auditeerida.
Ja nüüd, mis pole turvalogi poliitikates, vaid on Sysmonis:
Faili loomise aja muutmine (sündmuse ID 2). Mõni pahavara võib võltsida faili loomise kuupäeva, et peita see hiljuti loodud failide aruannete eest.
Draiverite ja dünaamiliste teekide laadimine (sündmuse ID-d 6–7). DLL-ide ja seadme draiverite mällu laadimise jälgimine, digiallkirja ja selle kehtivuse kontrollimine.
Looge töötavas protsessis lõim (sündmuse ID 8). Üks ründetüüp, mida tuleb samuti jälgida.
RawAccessRead sündmused (sündmuse ID 9). Ketta lugemise toimingud, kasutades ".". Enamikul juhtudel tuleks sellist tegevust pidada ebanormaalseks.
Loo nimega failivoog (sündmuse ID 15). Sündmus logitakse, kui luuakse nimega failivoog, mis väljastab sündmusi faili sisu räsiga.
Nimelise toru ja ühenduse loomine (sündmuse ID 17-18). Pahatahtliku koodi jälgimine, mis suhtleb nimega toru kaudu teiste komponentidega.
WMI tegevus (sündmuse ID 19). Sündmuste registreerimine, mis genereeritakse WMI-protokolli kaudu süsteemi sisenemisel.
Sysmoni enda kaitsmiseks peate jälgima sündmusi ID 4 (Sysmoni peatamine ja käivitamine) ja ID 16 (Sysmoni konfiguratsiooni muudatused).
Power Shelli logid
Power Shell on võimas tööriist Windowsi infrastruktuuri haldamiseks, seega on suur tõenäosus, et ründaja valib selle. Power Shelli sündmuste andmete hankimiseks saate kasutada kahte allikat: Windows PowerShelli logi ja Microsoft-WindowsPowerShelli/Operational logi.
Windows PowerShelli logi
Andmepakkuja on laaditud (sündmuse ID 600). PowerShelli pakkujad on programmid, mis pakuvad PowerShellile vaatamiseks ja haldamiseks andmeallikat. Näiteks võivad sisseehitatud pakkujad olla Windowsi keskkonnamuutujad või süsteemiregister. Uute tarnijate tekkimist tuleb jälgida, et pahatahtlikku tegevust õigel ajal avastada. Näiteks kui näete pakkujate hulgas WSMani, on käivitatud PowerShelli kaugseanss.
Microsoft-WindowsPowerShell / operatsioonilogi (või MicrosoftWindows-PowerShellCore / Operational PowerShell 6-s)
Mooduli logimine (sündmuse ID 4103). Sündmused salvestavad teavet iga käivitatud käsu ja parameetrite kohta, millega see välja kutsuti.
Skripti blokeerimise logimine (sündmuse ID 4104). Skripti blokeerimise logimine näitab iga käivitatud PowerShelli koodi plokki. Isegi kui ründaja üritab käsku peita, näitab see sündmusetüüp PowerShelli käsku, mis tegelikult käivitati. See sündmusetüüp suudab logida ka mõningaid tehtud madala taseme API-kõnesid. Tavaliselt salvestatakse need sündmused paljusõnalisena, kuid kui koodiplokis kasutatakse kahtlast käsku või skripti, logitakse see hoiatuse tõsidusena.
Pange tähele, et kui tööriist on konfigureeritud neid sündmusi koguma ja analüüsima, kulub valepositiivsete arvu vähendamiseks silumiseks lisaaega.
Rääkige meile kommentaarides, milliseid logisid infoturbeauditite jaoks kogute ja milliseid tööriistu selleks kasutate. Üks meie fookusvaldkondi on lahendused infoturbe sündmuste auditeerimiseks. Logide kogumise ja analüüsimise probleemi lahendamiseks võime soovitada lähemalt uurida , mis suudab salvestatud andmeid tihendada suhtega 20:1 ja selle üks installitud eksemplar on võimeline töötlema kuni 60000 10000 sündmust sekundis XNUMX XNUMX allikast.
Allikas: www.habr.com