ProHoster > وبلاگ > اداره > چه چیزهای مفیدی را می توان از لاگ های یک ایستگاه کاری مبتنی بر ویندوز استخراج کرد؟

چه چیزهای مفیدی را می توان از لاگ های یک ایستگاه کاری مبتنی بر ویندوز استخراج کرد؟

ایستگاه کاری کاربر آسیب پذیرترین نقطه زیرساخت از نظر امنیت اطلاعات است. کاربران ممکن است نامه ای به ایمیل کاری خود دریافت کنند که به نظر می رسد از یک منبع امن است، اما پیوندی به یک سایت آلوده دارد. شاید کسی یک ابزار مفید برای کار را از یک مکان ناشناخته دانلود کند. بله، شما می توانید با ده ها مورد از نحوه نفوذ بدافزار به منابع داخلی شرکت از طریق کاربران مواجه شوید. بنابراین، ایستگاه های کاری نیاز به توجه بیشتری دارند و در این مقاله به شما خواهیم گفت که کجا و چه رویدادهایی برای نظارت بر حملات انجام دهید.

چه چیزهای مفیدی را می توان از لاگ های یک ایستگاه کاری مبتنی بر ویندوز استخراج کرد؟

برای شناسایی یک حمله در اولین مرحله ممکن، ویندوز دارای سه منبع رویداد مفید است: گزارش رویداد امنیتی، گزارش مانیتورینگ سیستم، و گزارش‌های پوسته پاور.

گزارش رویداد امنیتی

این محل ذخیره اصلی گزارش های امنیتی سیستم است. این شامل رویدادهای ورود/خروج کاربر، دسترسی به اشیا، تغییرات خط‌مشی و سایر فعالیت‌های مرتبط با امنیت است. البته اگر سیاست مناسب پیکربندی شده باشد.

چه چیزهای مفیدی را می توان از لاگ های یک ایستگاه کاری مبتنی بر ویندوز استخراج کرد؟

شمارش کاربران و گروه ها (رویدادهای 4798 و 4799). در همان ابتدای حمله، بدافزار اغلب از طریق حساب‌های کاربری محلی و گروه‌های محلی در یک ایستگاه کاری جستجو می‌کند تا اعتبار معاملات مبهم خود را بیابد. این رویدادها به شناسایی کدهای مخرب قبل از حرکت و با استفاده از داده‌های جمع‌آوری‌شده، به سیستم‌های دیگر سرایت می‌کند.

ایجاد یک حساب کاربری محلی و تغییرات در گروه های محلی (رویدادهای 4720، 4722-4726، 4738، 4740، 4767، 4780، 4781، 4794، 5376 و 5377). حمله همچنین می تواند برای مثال با افزودن یک کاربر جدید به گروه مدیران محلی آغاز شود.

تلاش برای ورود با یک حساب محلی (رویداد 4624). کاربران محترم با یک حساب دامنه وارد می شوند و شناسایی یک ورود تحت یک حساب محلی می تواند به معنای شروع یک حمله باشد. رویداد 4624 همچنین شامل ورود به حساب دامنه است، بنابراین هنگام پردازش رویدادها، باید رویدادهایی را که دامنه با نام ایستگاه کاری متفاوت است فیلتر کنید.

تلاش برای ورود با حساب مشخص شده (رویداد 4648). این زمانی اتفاق می افتد که فرآیند در حالت "اجرا به عنوان" اجرا شود. این اتفاق نباید در طول عملکرد عادی سیستم ها رخ دهد، بنابراین چنین رویدادهایی باید کنترل شوند.

قفل کردن/باز کردن قفل ایستگاه کاری (رویدادهای 4800-4803). دسته رویدادهای مشکوک شامل هر اقدامی است که در یک ایستگاه کاری قفل شده رخ داده است.

تغییرات پیکربندی فایروال (رویدادهای 4944-4958). بدیهی است که هنگام نصب نرم افزار جدید، تنظیمات پیکربندی فایروال ممکن است تغییر کند که باعث مثبت کاذب می شود. در بیشتر موارد، نیازی به کنترل چنین تغییراتی نیست، اما قطعا دانستن در مورد آنها ضرری نخواهد داشت.

اتصال دستگاه‌های Plug'n'play (رویداد 6416 و فقط برای ویندوز 10). اگر کاربران معمولاً دستگاه‌های جدیدی را به ایستگاه کاری متصل نمی‌کنند، اما ناگهان این کار را انجام می‌دهند، مهم است که مراقب این موضوع باشید.

ویندوز شامل 9 دسته ممیزی و 50 زیرمجموعه برای تنظیم دقیق است. حداقل مجموعه زیرمجموعه هایی که باید در تنظیمات فعال شوند:

ورود / خروج

  • ورود؛
  • خروج؛
  • قفل کردن حساب؛
  • سایر رویدادهای Logon/Logoff.

مدیریت حساب

  • مدیریت حساب کاربری؛
  • مدیریت گروه امنیتی

تغییر سیاست

  • تغییر سیاست حسابرسی؛
  • تغییر سیاست احراز هویت؛
  • تغییر خط مشی مجوز.

مانیتور سیستم (Sysmon)

Sysmon ابزاری است که در ویندوز تعبیه شده است که می تواند رویدادها را در گزارش سیستم ثبت کند. معمولاً باید آن را جداگانه نصب کنید.

چه چیزهای مفیدی را می توان از لاگ های یک ایستگاه کاری مبتنی بر ویندوز استخراج کرد؟

در اصل، این رویدادهای مشابه را می توان در گزارش امنیتی (با فعال کردن خط مشی حسابرسی مورد نظر) یافت، اما Sysmon جزئیات بیشتری را ارائه می دهد. چه اتفاقاتی را می توان از Sysmon گرفت؟

ایجاد فرآیند (شناسه رویداد 1). گزارش رویداد امنیتی سیستم همچنین می تواند به شما بگوید که یک *.exe چه زمانی شروع شده است و حتی نام و مسیر راه اندازی آن را نشان می دهد. اما برخلاف Sysmon، قادر به نمایش هش برنامه نخواهد بود. حتی ممکن است نرم افزار مخرب notepad.exe بی ضرر نامیده شود، اما این هش است که آن را آشکار می کند.

اتصالات شبکه (شناسه رویداد 3). بدیهی است که تعداد زیادی اتصال شبکه وجود دارد و پیگیری همه آنها غیرممکن است. اما باید در نظر داشت که Sysmon برخلاف Security Log می‌تواند اتصال شبکه را به فیلدهای ProcessID و ProcessGUID متصل کند و پورت و آدرس IP مبدا و مقصد را نشان دهد.

تغییرات در رجیستری سیستم (شناسه رویداد 12-14). ساده ترین راه برای اضافه کردن خود به autorun ثبت نام در رجیستری است. Security Log می تواند این کار را انجام دهد، اما Sysmon نشان می دهد که چه کسی تغییرات را انجام داده است، از کجا، شناسه پردازش و مقدار کلید قبلی.

ایجاد فایل (شناسه رویداد 11). Sysmon، برخلاف Security Log، نه تنها محل فایل، بلکه نام آن را نیز نشان می دهد. واضح است که نمی‌توانید همه چیز را پیگیری کنید، اما می‌توانید فهرست‌های خاصی را بررسی کنید.

و اکنون آنچه در سیاست های گزارش امنیتی نیست، اما در Sysmon است:

تغییر زمان ایجاد فایل (شناسه رویداد 2). برخی از بدافزارها می توانند تاریخ ایجاد یک فایل را جعل کنند تا آن را از گزارش فایل های اخیراً ایجاد شده پنهان کنند.

بارگیری درایورها و کتابخانه های پویا (شناسه رویداد 6-7). نظارت بر بارگذاری DLL ها و درایورهای دستگاه در حافظه، بررسی امضای دیجیتال و اعتبار آن.

در یک فرآیند در حال اجرا یک موضوع ایجاد کنید (شناسه رویداد 8). یکی از انواع حمله است که باید نظارت شود.

رویدادهای RawAccessRead (شناسه رویداد 9). عملیات خواندن دیسک با استفاده از ".". در اکثریت قریب به اتفاق موارد، چنین فعالیتی باید غیرعادی تلقی شود.

یک جریان فایل با نام (شناسه رویداد 15) ایجاد کنید. یک رویداد زمانی ثبت می شود که یک جریان فایل با نام ایجاد می شود که رویدادها را با هش محتوای فایل منتشر می کند.

ایجاد یک لوله و اتصال با نام (شناسه رویداد 17-18). ردیابی کدهای مخرب که از طریق لوله نامگذاری شده با سایر اجزای ارتباط برقرار می کند.

فعالیت WMI (شناسه رویداد 19). ثبت رویدادهایی که هنگام دسترسی به سیستم از طریق پروتکل WMI ایجاد می شوند.

برای محافظت از خود Sysmon، باید رویدادها را با ID 4 (Sysmon توقف و شروع به کار) و ID 16 (تغییرات پیکربندی Sysmon) نظارت کنید.

لاگ های پوسته برق

Power Shell یک ابزار قدرتمند برای مدیریت زیرساخت ویندوز است، بنابراین احتمال اینکه مهاجم آن را انتخاب کند زیاد است. دو منبع وجود دارد که می توانید برای به دست آوردن داده های رویداد Power Shell استفاده کنید: گزارش Windows PowerShell و Microsoft-WindowsPowerShell/Operational log.

گزارش PowerShell ویندوز

چه چیزهای مفیدی را می توان از لاگ های یک ایستگاه کاری مبتنی بر ویندوز استخراج کرد؟

ارائه دهنده داده بارگیری شد (شناسه رویداد 600). ارائه دهندگان PowerShell برنامه هایی هستند که منبع داده ای را برای مشاهده و مدیریت PowerShell فراهم می کنند. به عنوان مثال، ارائه دهندگان داخلی می توانند متغیرهای محیط ویندوز یا رجیستری سیستم باشند. ظهور تامین کنندگان جدید باید نظارت شود تا فعالیت های مخرب به موقع شناسایی شود. به عنوان مثال، اگر WSMan را در بین ارائه دهندگان مشاهده کردید، پس یک جلسه PowerShell راه دور شروع شده است.

Microsoft-WindowsPowerShell / گزارش عملیاتی (یا MicrosoftWindows-PowerShellCore / Operational در PowerShell 6)

چه چیزهای مفیدی را می توان از لاگ های یک ایستگاه کاری مبتنی بر ویندوز استخراج کرد؟

ثبت ماژول (شناسه رویداد 4103). رویدادها اطلاعات مربوط به هر فرمان اجرا شده و پارامترهایی را که با آن فراخوانی شده است ذخیره می کند.

ورود به سیستم مسدود کردن اسکریپت (شناسه رویداد 4104). ورود به سیستم مسدود کردن اسکریپت هر بلوک از کد PowerShell اجرا شده را نشان می دهد. حتی اگر یک مهاجم سعی کند دستور را مخفی کند، این نوع رویداد فرمان PowerShell را نشان می دهد که واقعاً اجرا شده است. این نوع رویداد همچنین می‌تواند برخی از تماس‌های API سطح پایین را ثبت کند، این رویدادها معمولاً به صورت Verbose ثبت می‌شوند، اما اگر یک دستور یا اسکریپت مشکوک در یک بلوک از کد استفاده شود، به‌عنوان شدت هشدار ثبت می‌شود.

لطفاً توجه داشته باشید که پس از پیکربندی ابزار برای جمع‌آوری و تجزیه و تحلیل این رویدادها، زمان رفع اشکال اضافی برای کاهش تعداد موارد مثبت کاذب مورد نیاز است.

در نظرات به ما بگویید چه گزارش هایی را برای ممیزی امنیت اطلاعات جمع آوری می کنید و از چه ابزارهایی برای این کار استفاده می کنید. یکی از حوزه های تمرکز ما راه حل هایی برای ممیزی رویدادهای امنیت اطلاعات است. برای حل مشکل جمع آوری و تجزیه و تحلیل لاگ ها می توان نگاه دقیق تری به آن پیشنهاد داد Quest InTrust، که می تواند داده های ذخیره شده را با نسبت 20:1 فشرده کند و یک نمونه نصب شده از آن قادر است تا 60000 رویداد در ثانیه را از 10000 منبع پردازش کند.

منبع: www.habr.com

اضافه کردن نظر