Erabiltzaileen lantokia da azpiegituraren punturik zaurgarriena informazioaren segurtasunari dagokionez. Erabiltzaileek beren laneko posta elektronikora gutun bat jaso dezakete, iturri seguru batekoa dirudiena, baina kutsatutako gune baterako esteka batekin. Agian norbaitek kokapen ezezagun batetik lanerako erabilgarria den utilitate bat deskargatuko du. Bai, hamaika kasu aurki ditzakezu malwareak erabiltzaileen bidez barneko baliabide korporatiboetan nola infiltratu ditzakeen. Hori dela eta, lan-estazioek arreta handiagoa behar dute, eta artikulu honetan erasoak kontrolatzeko non eta zer gertakari hartu esango dizugu.
Eraso bat ahalik eta lehen detektatzeko, WIndows-ek hiru gertaera-iturri erabilgarriak ditu: Segurtasun Gertaeren Erregistroa, Sistemaren Jarraipen Erregistroa eta Power Shell Erregistroak.
Segurtasun Gertaeren Erregistroa
Hau da sistemaren segurtasun-erregistroetarako biltegiratze-kokapen nagusia. Erabiltzaileen saioa hasi/saioa, objektuetarako sarbidea, politika-aldaketak eta segurtasunarekin lotutako beste jarduera batzuk barne hartzen ditu. Jakina, politika egokia konfiguratuta badago.
Erabiltzaileen eta taldeen zenbaketa (4798 eta 4799 gertaerak). Eraso baten hasieran, malwareak sarritan bilatzen ditu tokiko erabiltzaile-kontuetan eta tokiko taldeetan lan-estazio batean bere tratu ilunetarako kredentzialak aurkitzeko. Gertaera hauek kode gaiztoa detektatzen lagunduko dute aurrera egin aurretik eta, bildutako datuak erabiliz, beste sistema batzuetara zabaltzen da.
Tokiko kontua sortzea eta tokiko taldeetan aldaketak (4720, 4722β4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 eta 5377 gertaerak). Erasoa ere has daiteke, adibidez, tokiko administratzaileen taldean erabiltzaile berri bat gehituz.
Tokiko kontu batekin saioa hasteko saiakerak (4624. gertaera). Erabiltzaile errespetagarriak domeinu-kontu batekin hasten dira saioa, eta tokiko kontu baten azpian saio-hasiera identifikatzeak eraso baten hasiera ekar dezake. 4624 gertaerak domeinu-kontu batean saio-hasierak ere barne hartzen ditu, beraz, gertaerak prozesatzen dituzunean, domeinua lan-estaren izenetik desberdina den gertaerak iragazi behar dituzu.
Zehaztutako kontuarekin saioa hasteko saiakera bat (4648. gertaera). Hau prozesua "exekutatu gisa" moduan exekutatzen ari denean gertatzen da. Hau ez da gertatu behar sistemen funtzionamendu arruntean, beraz, gertaerak kontrolatu behar dira.
Lanpostua blokeatzea/desblokeatzea (4800-4803 gertaerak). Gertaera susmagarrien kategorian blokeatutako lan-estazio batean gertatutako ekintzak sartzen dira.
Suebakiaren konfigurazio-aldaketak (4944-4958 gertaerak). Jakina, software berria instalatzean, suebakiaren konfigurazio ezarpenak alda daitezke, eta horrek positibo faltsuak eragingo ditu. Kasu gehienetan, ez dago horrelako aldaketak kontrolatu beharrik, baina zalantzarik gabe ez du minik egingo horien berri jakiteak.
Plug'n'play gailuak konektatzen (6416. gertaera eta WINdows 10-rako soilik). Garrantzitsua da kontua ematea erabiltzaileek normalean gailu berriak lan-estaziora konektatzen ez badituzte, baina bat-batean hala egiten dute.
Windows-ek 9 auditoretza-kategoria eta 50 azpikategoria ditu doikuntzarako. Ezarpenetan gaitu behar diren azpikategorien gutxieneko multzoa:
Saio / Irten
- Sartu;
- Irten;
- Kontuaren blokeoa;
- Saioa hasteko/amaierarako beste ekitaldi batzuk.
Kontu kudeaketa
- Erabiltzaile kontuen kudeaketa;
- Segurtasun Taldeen Kudeaketa.
Politika aldaketa
- Ikuskaritza Politika Aldaketa;
- Autentifikazio-politika aldaketa;
- Baimen-politika aldatzea.
Sistemaren monitorea (Sysmon)
Sysmon Windows-en integratutako utilitate bat da, gertaerak sistemaren erregistroan erregistra ditzakeena. Normalean bereizita instalatu behar duzu.
Gertaera hauek, printzipioz, segurtasun erregistroan aurki daitezke (nahi den auditoretza-politika gaituz), baina Sysmon-ek xehetasun gehiago ematen ditu. Zer gertakari har daitezke Sysmonetik?
Prozesua sortzea (gertaera ID 1). Sistemako segurtasun-gertaeren erregistroak *.exe bat noiz hasi zen esan dezake eta bere izena eta abiarazte bidea ere erakutsi ditzake. Baina Sysmon-ek ez bezala, ezin izango du aplikazioaren hash-a erakutsi. Software gaiztoa kalterik gabeko notepad.exe ere dei daiteke, baina hash-a da agerian jarriko duena.
Sare-konexioak (Gertaera ID 3). Jakina, sareko konexio asko daudela, eta ezinezkoa da horien guztien jarraipena egitea. Baina kontuan hartu behar da Sysmonek, Security Log ez bezala, sareko konexio bat ProcessID eta ProcessGUID eremuetara lotu dezakeela eta iturriaren eta helmugaren ataka eta IP helbideak erakusten dituela.
Sistemaren erregistroan aldaketak (12-14 gertaera ID). Autorun-era gehitzeko modurik errazena erregistroan erregistratzea da. Security Log-ek hau egin dezake, baina Sysmon-ek aldaketak nork egin dituen erakusten du, noiz, nondik prozesatu IDa eta aurreko gako-balioa.
Fitxategia sortzea (gertaera ID 11). Sysmonek, Security Log ez bezala, fitxategiaren kokapena ez ezik, bere izena ere erakutsiko du. Argi dago ezin duzula guztiaren jarraipena egin, baina direktorio jakin batzuk ikus ditzakezu.
Eta orain Security Log politiketan ez dagoena, baina Sysmon-en dago:
Fitxategiak sortzeko orduaren aldaketa (gertaera ID 2). Malware batzuek fitxategi baten sorrera-data faltsu dezakete, sortu berri diren fitxategien txostenetatik ezkutatzeko.
Kontrolatzaileak eta liburutegi dinamikoak kargatzen (6-7 gertaeren IDak). DLLak eta gailu kontrolatzaileak memorian kargatzen diren kontrolatzea, sinadura digitala eta bere baliozkotasuna egiaztatuz.
Sortu hari bat martxan dagoen prozesu batean (gertaera ID 8). Eraso mota bat ere kontrolatu behar dena.
RawAccessRead Gertaerak (Gertaera ID 9). Diskoa irakurtzeko eragiketak "." erabiliz. Kasu gehienetan, jarduera hori anormaltzat hartu behar da.
Sortu izendun fitxategi-korronte bat (gertaera ID 15). Gertaera bat erregistratzen da fitxategiaren edukiaren hash batekin gertaerak igortzen dituen fitxategi-korronte bat sortzen denean.
Izeneko kanalizazioa eta konexioa sortzea (17-18 gertaera ID). Beste osagai batzuekin izendatutako kanalizazioaren bidez komunikatzen den kode maltzurren jarraipena.
WMI jarduera (gertaera ID 19). WMI protokoloaren bidez sistemara sartzean sortzen diren gertaeren erregistroa.
Sysmon bera babesteko, ID 4 (Sysmon gelditu eta abiarazi) eta ID 16 (Sysmon konfigurazio-aldaketak) dituzten gertaerak kontrolatu behar dituzu.
Power Shell erregistroak
Power Shell Windows azpiegitura kudeatzeko tresna indartsua da, beraz, aukera handiak dira erasotzaileak aukeratzeko. Power Shell gertaeren datuak lortzeko bi iturri erabil ditzakezu: Windows PowerShell erregistroa eta Microsoft-WindowsPowerShell/Operational erregistroa.
Windows PowerShell erregistroa
Datu-hornitzailea kargatu da (gertaera ID 600). PowerShell hornitzaileak PowerShell-i ikusi eta kudeatzeko datu-iturri bat eskaintzen dioten programak dira. Adibidez, hornitzaile integratuak Windows inguruneko aldagaiak edo sistemaren erregistroa izan daitezke. Hornitzaile berrien agerpena kontrolatu behar da jarduera gaiztoak garaiz detektatzeko. Adibidez, hornitzaileen artean WSMan agertzen ikusten baduzu, urruneko PowerShell saio bat hasi da.
Microsoft-WindowsPowerShell / Erregistro operatiboa (edo MicrosoftWindows-PowerShellCore / Operatiboa PowerShell 6-n)
Moduluaren erregistroa (gertaera ID 4103). Gertaetek exekutaturiko komando bakoitzari eta dei egin zaion parametroei buruzko informazioa gordetzen dute.
Script blokeatzeko erregistroa (gertaera ID 4104). Script blokeatzeko erregistroak exekutaturiko PowerShell kodearen bloke bakoitza erakusten du. Erasotzaile bat komandoa ezkutatzen saiatzen bada ere, gertaera mota honek benetan exekutatu zen PowerShell komandoa erakutsiko du. Gertaera mota honek egiten ari diren API-maila baxuko dei batzuk ere erregistra ditzake; gertaera hauek Hitzezko gisa erregistratzen dira normalean, baina kode bloke batean komando edo script susmagarri bat erabiltzen bada, Abisu larritasun gisa erregistratuko da.
Kontuan izan tresna gertaera horiek biltzeko eta aztertzeko konfiguratuta dagoenean, arazketa-denbora gehigarria beharko dela positibo faltsuen kopurua murrizteko.
Esan iezaguzu iruzkinetan zer erregistro biltzen dituzun informazioaren segurtasunaren auditoriak egiteko eta zer tresna erabiltzen dituzun horretarako. Gure ardatzetako bat informazioaren segurtasuneko gertaerak ikuskatzeko irtenbideak dira. Erregistroak biltzeko eta aztertzeko arazoa konpontzeko, gertutik aztertzea proposatzen dugu , biltegiratutako datuak 20:1eko ratioarekin konprimi ditzake, eta instalatutako instantzia batek segundoko 60000 gertaera prozesatzeko gai da 10000 iturritatik.
Iturria: www.habr.com