It brûkerswurkstasjon is it meast kwetsbere punt fan 'e ynfrastruktuer yn termen fan ynformaasjefeiligens. Brûkers kinne in brief krije nei har wurk-e-post dy't liket te kommen fan in feilige boarne, mar mei in keppeling nei in ynfekteare side. Miskien sil immen in nuttich nuttich foar wurk downloade fan in ûnbekende lokaasje. Ja, jo kinne mei tsientallen gefallen komme oer hoe't malware ynterne bedriuwsboarnen kin ynfiltrearje fia brûkers. Dêrom fereaskje wurkstasjons ferhege oandacht, en yn dit artikel sille wy jo fertelle wêr en hokker eveneminten moatte nimme om oanfallen te kontrolearjen.
Om in oanfal op it betiidst mooglike poadium te detektearjen, hat WIndows trije nuttige boarnen foar eveneminten: it Security Event Log, it System Monitoring Log, en de Power Shell Logs.
Feiligens Event Log
Dit is de wichtichste opslachlokaasje foar systeemfeiligenslogboeken. Dit omfettet eveneminten fan oanmelden / ôfmelde fan brûkers, tagong ta objekten, beliedswizigingen en oare feiligens-relatearre aktiviteiten. Fansels, as it passende belied is ynsteld.
Opsomming fan brûkers en groepen (eveneminten 4798 en 4799). Oan it begjin fan in oanfal siket malware faak troch lokale brûkersakkounts en lokale groepen op in wurkstasjon om bewiisbrieven te finen foar har skaadlike hannelingen. Dizze eveneminten sille helpe by it ûntdekken fan kweade koade foardat it trochgiet en, mei help fan de sammele gegevens, ferspriedt nei oare systemen.
Oanmeitsjen fan in lokaal akkount en feroaringen yn lokale groepen (eveneminten 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 en 5377). De oanfal kin ek begjinne, bygelyks troch it tafoegjen fan in nije brûker oan de lokale beheardersgroep.
Oanmelde besykjen mei in lokale akkount (evenemint 4624). Respektabele brûkers ynlogge mei in domein akkount, en it identifisearjen fan in oanmelding ûnder in lokaal akkount kin it begjin fan in oanfal betsjutte. Event 4624 omfettet ek oanmeldingen ûnder in domeinaccount, dus by it ferwurkjen fan eveneminten moatte jo eveneminten filterje wêr't it domein oars is fan 'e wurkstasjonnamme.
In besykjen om oan te melden mei it opjûne akkount (evenemint 4648). Dit bart as it proses rint yn "rune as" modus. Dit moat net barre by normale wurking fan systemen, dus sokke eveneminten moatte wurde kontrolearre.
Beskoattelje / ûntsluten fan it wurkstasjon (eveneminten 4800-4803). De kategory fan fertochte barrens omfettet alle aksjes dy't barde op in beskoattele wurkstasjon.
Firewall konfiguraasje feroarings (eveneminten 4944-4958). Fansels kinne by it ynstallearjen fan nije software de konfiguraasje-ynstellingen fan 'e firewall feroarje, wat falske positiven feroarsaakje. Yn 'e measte gefallen is d'r gjin ferlet om sokke feroaringen te kontrolearjen, mar it sil perfoarst gjin sear dwaan om oer har te witten.
Ferbine Plug'n'play apparaten (evenemint 6416 en allinnich foar Windows 10). It is wichtich om dit yn 'e gaten te hâlden as brûkers meastentiids gjin nije apparaten ferbine mei it wurkstasjon, mar dan dogge se dat ynienen.
Windows omfettet 9 kontrôlekategoryen en 50 subkategoryen foar fine-tuning. De minimale set fan subkategoryen dy't moatte wurde ynskeakele yn 'e ynstellings:
Logon / Logoff
- Log yn;
- Útlogge;
- Account Lockout;
- Oare Logon / Logoff Events.
Account Management
- User Account Management;
- Feiligens Group Management.
Beliedsferoaring
- Audit Policy Change;
- Feroaring fan ferifikaasjebelied;
- Autorisaasje Policy Change.
Systeemmonitor (Sysmon)
Sysmon is in yn Windows ynboud hulpprogramma dat barrens kin opnimme yn it systeemlogboek. Normaal moatte jo it apart ynstallearje.
Dizze selde eveneminten kinne yn prinsipe fûn wurde yn it feiligenslog (troch it winske kontrôlebelied yn te skeakeljen), mar Sysmon jout mear detail. Hokker eveneminten kinne wurde oernommen fan Sysmon?
Proses oanmeitsjen (evenemint ID 1). It logboek foar systeemfeiligens-evenemint kin jo ek fertelle wannear't in *.exe begon en sels syn namme en startpaad sjen litte. Mar oars as Sysmon, sil it de applikaasje-hash net sjen litte. Malicious software kin sels harmless notepad.exe neamd wurde, mar it is de hash dy't it oan it ljocht bringt.
Netwurkferbiningen (Event ID 3). Fansels binne d'r in protte netwurkferbiningen, en it is ûnmooglik om se allegear by te hâlden. Mar it is wichtich om te beskôgjen dat Sysmon, yn tsjinstelling ta Feiligenslog, in netwurkferbining kin bine oan de ProcessID- en ProcessGUID-fjilden, en de poarte- en IP-adressen fan 'e boarne en bestimming toant.
Feroarings yn it systeem register (evenemint ID 12-14). De maklikste manier om josels ta te foegjen oan autorun is te registrearjen yn it register. Feiligenslog kin dit dwaan, mar Sysmon lit sjen wa't de wizigingen makke hat, wannear, wêrfan, proses-ID en de foarige kaaiwearde.
Bestân oanmeitsje (evenemint ID 11). Sysmon sil, yn tsjinstelling ta Security Log, net allinich de lokaasje fan it bestân sjen litte, mar ek de namme. It is dúdlik dat jo net alles kinne byhâlde, mar jo kinne bepaalde mappen kontrolearje.
En no is wat net yn Feiligenslogbelied is, mar yn Sysmon:
Feroarje fan tiid foar oanmeitsjen fan bestân (evenemint ID 2). Guon malware kin de oanmaakdatum fan in bestân spoofje om it te ferbergjen fan rapporten fan koartlyn oanmakke bestannen.
Bestjoerders en dynamyske biblioteken laden (evenemint ID's 6-7). Kontrolearje it laden fan DLL's en apparaatbestjoerders yn it ûnthâld, kontrolearje de digitale hantekening en har jildigens.
Meitsje in tried yn in rinnende proses (evenemint ID 8). Ien soarte oanfal dy't ek kontrolearre wurde moat.
RawAccessRead Events (Event ID 9). Disk lêsoperaasjes mei ".". Yn 'e measte gefallen moat sa'n aktiviteit as abnormaal beskôge wurde.
Meitsje in neamde triemstream (evenemint ID 15). In evenemint wurdt oanmeld as in neamde triemstream wurdt makke dy't eveneminten útstjoert mei in hash fan de ynhâld fan it bestân.
It meitsjen fan in neamde piip en ferbining (evenemint ID 17-18). It folgjen fan kweade koade dy't kommunisearret mei oare komponinten fia de neamde piip.
WMI-aktiviteit (evenemint ID 19). Registraasje fan eveneminten dy't wurde oanmakke by tagong ta it systeem fia it WMI-protokol.
Om Sysmon sels te beskermjen, moatte jo eveneminten kontrolearje mei ID 4 (Sysmon stopje en begjinne) en ID 16 (wizigingen fan Sysmon-konfiguraasje).
Power Shell Logs
Power Shell is in krêftich ark foar it behearen fan Windows-ynfrastruktuer, dus de kâns is grut dat in oanfaller it sil kieze. D'r binne twa boarnen dy't jo brûke kinne om Power Shell-evenemintgegevens te krijen: Windows PowerShell-log en Microsoft-WindowsPowerShell/Operational log.
Windows PowerShell log
Data provider laden (evenemint ID 600). PowerShell-oanbieders binne programma's dy't in boarne fan gegevens leverje foar PowerShell om te besjen en te behearjen. Ynboude providers kinne bygelyks Windows-omjouwingsfariabelen wêze as it systeemregister. De opkomst fan nije leveransiers moat wurde kontrolearre om kweade aktiviteit op 'e tiid te ûntdekken. As jo bygelyks WSMan sjogge ûnder de providers, dan is in PowerShell-sesje op ôfstân begon.
Microsoft-WindowsPowerShell / Operational log (of MicrosoftWindows-PowerShellCore / Operational yn PowerShell 6)
Module logging (evenemint ID 4103). Eveneminten bewarje ynformaasje oer elk útfierd kommando en de parameters wêrmei't it waard neamd.
Skript blokkearjende logging (evenemint ID 4104). Skriptblokkearjende logging toant elk blok fan PowerShell-koade útfierd. Sels as in oanfaller besiket it kommando te ferbergjen, sil dit barrentype it PowerShell-kommando sjen litte dat eins waard útfierd. Dit barren type kin ek ynlogge guon low-level API calls wurde makke, dizze eveneminten wurde meastal opnommen as Verbose, mar as in fertochte kommando of skript wurdt brûkt yn in blok fan koade, it sil wurde oanmeld as in Warskôging earnst.
Tink derom dat ienris it ark is konfigureare om dizze eveneminten te sammeljen en te analysearjen, sil ekstra debuggen tiid nedich wêze om it oantal falske positives te ferminderjen.
Fertel ús yn 'e opmerkings hokker logs jo sammelje foar kontrôles foar ynformaasjefeiligens en hokker ark jo hjirfoar brûke. Ien fan ús fokusgebieten is oplossingen foar it kontrolearjen fan eveneminten foar ynformaasjefeiligens. Om it probleem fan it sammeljen en analysearjen fan logs op te lossen, kinne wy foarstelle om in tichterby te sjen , dy't bewarre gegevens mei in ferhâlding fan 20: 1 komprimearje kin, en ien ynstalleare eksimplaar dêrfan is by steat om oant 60000 eveneminten per sekonde te ferwurkjen fan 10000 boarnen.
Boarne: www.habr.com