Käyttäjätyöasema on tietoturvan kannalta haavoittuvin kohta infrastruktuurissa. Käyttäjät voivat saada työsähköpostiinsa kirjeen, joka näyttää olevan turvallisesta lähteestä, mutta jossa on linkki tartunnan saaneelle sivustolle. Ehkä joku lataa työhön hyödyllisen apuohjelman tuntemattomasta paikasta. Kyllä, voit keksiä kymmeniä tapauksia, joissa haittaohjelmat voivat tunkeutua yrityksen sisäisiin resursseihin käyttäjien kautta. Siksi työasemat vaativat lisähuomiota, ja tässä artikkelissa kerromme sinulle, missä ja mitä tapahtumia hyökkäyksiä valvoa.
Hyökkäyksen havaitsemiseksi mahdollisimman varhaisessa vaiheessa WIndowsilla on kolme hyödyllistä tapahtumalähdettä: suojaustapahtumaloki, järjestelmän valvontaloki ja Power Shell -lokit.
Turvallisuustapahtumaloki
Tämä on järjestelmän suojauslokien tärkein tallennuspaikka. Tämä sisältää tapahtumia käyttäjän sisään-/uloskirjautumisesta, pääsystä objekteihin, käytäntömuutokset ja muut turvallisuuteen liittyvät toiminnot. Tietenkin, jos oikea käytäntö on määritetty.
Käyttäjien ja ryhmien luettelo (tapahtumat 4798 ja 4799). Hyökkäyksen alussa haittaohjelmat etsivät usein paikallisten käyttäjätilien ja työaseman paikallisten ryhmien kautta löytääkseen valtuustietoja hämäriin asioihinsa. Nämä tapahtumat auttavat havaitsemaan haitallisen koodin ennen kuin se siirtyy eteenpäin ja leviää kerättyjen tietojen avulla muihin järjestelmiin.
Paikallisen tilin luominen ja muutokset paikallisissa ryhmissä (tapahtumat 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 ja 5377). Hyökkäys voi myös alkaa esimerkiksi lisäämällä uusi käyttäjä paikallisten ylläpitäjien ryhmään.
Kirjautumisyritykset paikallisella tilillä (tapahtuma 4624). Kunnioitetut käyttäjät kirjautuvat sisään verkkotunnuksella, ja paikallisen tunnuksen tunnistaminen voi tarkoittaa hyökkäyksen alkua. Tapahtuma 4624 sisältää myös kirjautumiset toimialueen tiliin, joten tapahtumia käsiteltäessä on suodatettava pois tapahtumat, joissa toimialue on eri kuin työaseman nimi.
Yritys kirjautua sisään määritetyllä tilillä (tapahtuma 4648). Tämä tapahtuu, kun prosessi on käynnissä "suorita nimellä" -tilassa. Tämän ei pitäisi tapahtua järjestelmien normaalin toiminnan aikana, joten tällaisia tapahtumia on valvottava.
Työaseman lukitseminen/lukituksen avaaminen (tapahtumat 4800-4803). Epäilyttävien tapahtumien luokka sisältää kaikki toimet, jotka tapahtuivat lukitussa työasemassa.
Palomuurikokoonpanon muutokset (tapahtumat 4944-4958). Ilmeisesti uutta ohjelmistoa asennettaessa palomuurin asetukset voivat muuttua, mikä aiheuttaa vääriä positiivisia tuloksia. Useimmissa tapauksissa tällaisia muutoksia ei tarvitse hallita, mutta niistä ei varmasti ole haittaa.
Plug'n'play-laitteiden yhdistäminen (tapahtuma 6416 ja vain Windows 10). Tätä on tärkeää pitää silmällä, jos käyttäjät eivät yleensä liitä uusia laitteita työasemaan, mutta yhtäkkiä he tekevät.
Windows sisältää 9 tarkastusluokkaa ja 50 alaluokkaa hienosäätöä varten. Alaluokkien vähimmäisjoukko, joka tulee ottaa käyttöön asetuksissa:
Logon / Logoff
- Kirjautua sisään;
- Kirjaudu ulos;
- Tilin lukitus;
- Muut sisään-/uloskirjautumistapahtumat.
Account Management
- Käyttäjätilien hallinta;
- Turvallisuusryhmän hallinta.
Käytännön muutos
- Tarkastuspolitiikan muutos;
- Todennuskäytännön muutos;
- Valtuutuskäytännön muutos.
Järjestelmänvalvonta (Sysmon)
Sysmon on Windowsiin sisäänrakennettu apuohjelma, joka voi tallentaa tapahtumia järjestelmälokiin. Yleensä se on asennettava erikseen.
Nämä samat tapahtumat löytyvät periaatteessa suojauslokista (ottamalla käyttöön haluttu valvontakäytäntö), mutta Sysmon antaa lisätietoja. Mitä tapahtumia voidaan ottaa Sysmonista?
Prosessin luominen (tapahtumatunnus 1). Järjestelmän suojaustapahtumaloki voi myös kertoa sinulle, milloin *.exe käynnistyi, ja jopa näyttää sen nimen ja käynnistyspolun. Mutta toisin kuin Sysmon, se ei pysty näyttämään sovelluksen tiivistettä. Haittaohjelmia voidaan jopa kutsua harmittomaksi notepad.exe-tiedostoksi, mutta se on se, joka tuo sen esiin.
Verkkoyhteydet (tapahtumatunnus 3). On selvää, että verkkoyhteyksiä on paljon, ja on mahdotonta seurata niitä kaikkia. Mutta on tärkeää ottaa huomioon, että Sysmon, toisin kuin Security Log, voi sitoa verkkoyhteyden ProcessID- ja ProcessGUID-kenttiin ja näyttää lähteen ja kohteen portin ja IP-osoitteet.
Muutokset järjestelmärekisterissä (tapahtumatunnukset 12-14). Helpoin tapa lisätä itsesi automaattiseen käynnistykseen on rekisteröityä rekisteriin. Suojausloki voi tehdä tämän, mutta Sysmon näyttää, kuka on tehnyt muutokset, milloin, mistä, prosessitunnus ja edellinen avaimen arvo.
Tiedoston luominen (tapahtumatunnus 11). Sysmon, toisin kuin Security Log, näyttää paitsi tiedoston sijainnin myös sen nimen. On selvää, että et voi seurata kaikkea, mutta voit tarkastaa tiettyjä hakemistoja.
Ja nyt mikä ei ole suojauslokikäytännöissä, mutta on Sysmonissa:
Tiedoston luomisajan muutos (tapahtumatunnus 2). Jotkut haittaohjelmat voivat huijata tiedoston luontipäivämäärää piilottaakseen sen äskettäin luotujen tiedostojen raporteista.
Ladataan ohjaimia ja dynaamisia kirjastoja (tapahtumatunnukset 6-7). DLL-tiedostojen ja laiteajureiden muistiin lataamisen valvonta, digitaalisen allekirjoituksen ja sen voimassaolon tarkistaminen.
Luo säie käynnissä olevassa prosessissa (tapahtumatunnus 8). Yksi hyökkäystyyppi, jota on myös seurattava.
RawAccessRead-tapahtumat (tapahtumatunnus 9). Levyn lukutoiminnot käyttämällä ".". Suurimmassa osassa tapauksista tällaista toimintaa on pidettävä epänormaalina.
Luo nimetty tiedostovirta (tapahtumatunnus 15). Tapahtuma kirjataan lokiin, kun luodaan nimetty tiedostovirta, joka lähettää tapahtumia, joissa on tiedoston sisällön tiiviste.
Nimetyn putken ja liitännän luominen (tapahtumatunnus 17-18). Haitallisen koodin seuranta, joka kommunikoi muiden komponenttien kanssa nimetyn putken kautta.
WMI-toiminta (tapahtumatunnus 19). Tapahtumien rekisteröinti, jotka syntyvät, kun järjestelmää käytetään WMI-protokollan kautta.
Sysmonin itsensä suojaamiseksi sinun on valvottava tapahtumia, joiden tunnus on ID 4 (Sysmonin pysäytys ja käynnistys) ja ID 16 (Sysmonin konfiguraatiomuutokset).
Power Shell -lokit
Power Shell on tehokas työkalu Windows-infrastruktuurin hallintaan, joten on suuri mahdollisuus, että hyökkääjä valitsee sen. Voit hankkia Power Shell -tapahtumatiedot kahdesta lähteestä: Windows PowerShell -loki ja Microsoft-WindowsPowerShell/Operational loki.
Windows PowerShell -loki
Tietojen toimittaja ladattu (tapahtumatunnus 600). PowerShell-palveluntarjoajat ovat ohjelmia, jotka tarjoavat tietolähteen PowerShellille katselua ja hallintaa varten. Sisäänrakennetut palveluntarjoajat voivat olla esimerkiksi Windowsin ympäristömuuttujia tai järjestelmärekisteriä. Uusien toimittajien syntymistä on seurattava, jotta haitallinen toiminta havaitaan ajoissa. Jos esimerkiksi WSMan näkyy tarjoajien joukossa, PowerShell-etäistunto on aloitettu.
Microsoft-WindowsPowerShell / Toimintaloki (tai MicrosoftWindows-PowerShellCore / Operational PowerShell 6:ssa)
Moduulin kirjaus (tapahtumatunnus 4103). Tapahtumat tallentavat tietoja jokaisesta suoritetusta komennosta ja parametreista, joilla sitä kutsuttiin.
Komentosarjan esto lokiin (tapahtumatunnus 4104). Komentosarjan eston kirjaus näyttää jokaisen suoritetun PowerShell-koodilohkon. Vaikka hyökkääjä yrittäisi piilottaa komennon, tämä tapahtumatyyppi näyttää todellisuudessa suoritetun PowerShell-komennon. Tämä tapahtumatyyppi voi myös kirjata joitain tehtäviä matalan tason API-kutsuja, nämä tapahtumat kirjataan yleensä monisanaisiksi, mutta jos koodilohkossa käytetään epäilyttävää komentoa tai komentosarjaa, se kirjataan lokiin Varoituksen vakavuusasteena.
Huomaa, että kun työkalu on määritetty keräämään ja analysoimaan näitä tapahtumia, virheenkorjausaikaa tarvitaan lisää väärien positiivisten tulosten määrän vähentämiseksi.
Kerro meille kommenteissa, mitä lokeja keräät tietoturvatarkastuksia varten ja mitä työkaluja käytät tähän. Yksi painopistealueistamme on ratkaisut tietoturvatapahtumien auditointiin. Lokien keräämisen ja analysoinnin ongelman ratkaisemiseksi voimme ehdottaa tarkastelua tarkemmin , joka voi pakata tallennettua dataa suhteessa 20:1, ja yksi asennettu instanssi pystyy käsittelemään jopa 60000 10000 tapahtumaa sekunnissa XNUMX XNUMX lähteestä.
Lähde: will.com