Is é stáisiún oibre an úsáideora an pointe is leochailí den bhonneagar i dtéarmaí slándála faisnéise. Féadfaidh úsáideoirí litir a fháil chuig a ríomhphost oibre ar dealraitheach gur ó fhoinse shábháilte í, ach le nasc chuig suíomh ionfhabhtaithe. B’fhéidir go n-íoslódálfaidh duine áirgiúlacht a bheidh úsáideach le haghaidh oibre ó áit anaithnid. Sea, is féidir leat teacht suas le mórán cásanna maidir le conas is féidir le malware acmhainní corparáideacha inmheánacha a insileadh trí úsáideoirí. Dá bhrí sin, tá gá le níos mó airde ar stáisiúin oibre, agus san Airteagal seo inseoimid duit cén áit agus cad iad na himeachtaí is gá chun monatóireacht a dhéanamh ar ionsaithe.
Chun ionsaí a bhrath ag an gcéim is luaithe is féidir, tá trí fhoinse imeachtaí úsáideacha ag Windows: Loga Imeachta Slándála, Loga Monatóireachta an Chórais, agus Logchomhaid Power Shell.
Loga Imeachta Slándála
Is é seo an príomhshuíomh stórála le haghaidh logaí slándála córais. Áirítear leis seo teagmhais maidir le logáil isteach/logáil amach úsáideoirí, rochtain ar réada, athruithe beartais, agus gníomhaíochtaí eile a bhaineann le slándáil. Ar ndóigh, má tá an polasaí cuí cumraithe.
Áireamh úsáideoirí agus grúpaí (imeachtaí 4798 agus 4799). Ag tús ionsaí, is minic a chuardaíonn malware trí chuntais úsáideoirí áitiúla agus grúpaí áitiúla ar stáisiún oibre chun dintiúir a fháil dá ndéileálacha scáthacha. Cabhróidh na teagmhais seo le cód mailíseach a bhrath sula dtéann sé ar aghaidh agus, ag baint úsáide as na sonraí a bhailítear, a scaiptear chuig córais eile é.
Cruthú cuntas áitiúil agus athruithe i ngrúpaí áitiúla (imeachtaí 4720, 4722-4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 agus 5377). Is féidir tús a chur leis an ionsaí freisin, mar shampla, trí úsáideoir nua a chur leis an ngrúpa riarthóirí áitiúla.
Iarrachtaí logáil isteach le cuntas áitiúil (imeacht 4624). Logálann úsáideoirí measúla isteach le cuntas fearainn, agus má aithníonn siad logáil isteach faoi chuntas áitiúil is féidir tús a chur le hionsaí. Áiríonn Imeacht 4624 logáil isteach freisin faoi chuntas fearainn, mar sin agus imeachtaí á bpróiseáil agat, ní mór duit imeachtaí a scagadh amach ina bhfuil an fearann difriúil ó ainm an stáisiúin oibre.
Iarracht logáil isteach leis an gcuntas sonraithe (imeacht 4648). Tarlaíonn sé seo nuair a bhíonn an próiseas ar siúl i mód “rith mar”. Níor cheart go dtarlódh sé seo le linn gnáthoibriú na gcóras, mar sin ní mór imeachtaí den sórt sin a rialú.
Glasáil/díghlasáil an stáisiún oibre (imeachtaí 4800-4803). Áirítear leis an gcatagóir imeachtaí amhrasacha aon ghníomhartha a tharla ar stáisiún oibre faoi ghlas.
Athruithe ar chumraíocht balla dóiteáin (imeachtaí 4944-4958). Ar ndóigh, nuair a bhíonn bogearraí nua á shuiteáil, d'fhéadfadh go n-athróidh socruithe cumraíochta an bhalla dóiteáin, rud a fhágfaidh dearfach bréagach. I bhformhór na gcásanna, ní gá athruithe den sórt sin a rialú, ach ní ghortóidh sé a bheith ar an eolas fúthu.
Gléasanna Plug'n'play a nascadh (imeacht 6416 agus do Windows 10 amháin). Tá sé tábhachtach súil a choinneáil air seo mura gceanglaíonn úsáideoirí gléasanna nua leis an stáisiún oibre de ghnáth, ach go tobann déanann siad amhlaidh.
Áirítear le Windows 9 gcatagóir iniúchta agus 50 fochatagóir le haghaidh mionchoigeartaithe. An tacar íosta fochatagóirí ba cheart a chumasú sna socruithe:
Logáil isteach / Logoff
- Logáil isteach;
- Logáil Amach;
- Frithdhúnadh Cuntas;
- Imeachtaí Eile Logála/Lógála.
Bainistíocht Chuntas
- Bainistiú Cuntas Úsáideora;
- Bainistíocht Grúpa Slándála.
Athrú Beartais
- Athrú Beartais Iniúchta;
- Athrú Beartais Fíordheimhnithe;
- Athrú Beartais Údaraithe.
Monatóir an Chórais (Sysmon)
Is fóntais é Sysmon atá ionsuite i Windows ar féidir leis imeachtaí a thaifeadadh i loga an chórais. De ghnáth ní mór duit é a shuiteáil ar leithligh.
Is féidir na teagmhais chéanna seo a fháil, i bprionsabal, sa loga slándála (trí bhíthin an bheartais iniúchta inmhianaithe a chumasú), ach soláthraíonn Sysmon níos mó sonraí. Cad iad na himeachtaí is féidir a bhaint as Sysmon?
Cruthú próisis (ID imeachta 1). Is féidir le logáil imeachtaí slándála an chórais a insint duit freisin cathain a thosaigh *.exe agus fiú a ainm agus cosán seolta a thaispeáint. Ach murab ionann agus Sysmon, ní bheidh sé in ann an hash feidhmchláir a thaispeáint. Is féidir fiú a thabhairt ar bhogearraí mailíseacha Notepad.exe neamhdhíobhálach, ach is é an hash a thabharfaidh chun solais é.
Naisc Líonra (ID Imeachta 3). Ar ndóigh, tá go leor naisc líonra ann, agus ní féidir súil a choinneáil orthu go léir. Ach tá sé tábhachtach a mheas gur féidir le Sysmon, murab ionann agus Log Slándála, nasc líonra a cheangal leis na réimsí ProcessID agus ProcessGUID, agus taispeánann sé seoltaí calafoirt agus IP na foinse agus an chinn scríbe.
Athruithe ar chlár an chórais (ID imeachta 12-14). Is é an bealach is éasca chun tú féin a chur le autorun ná clárú sa chlár. Is féidir le Loga Slándála é seo a dhéanamh, ach taispeánann Sysmon cé a rinne na hathruithe, cathain, cá háit, a phróiseáil ID agus an luach eochrach roimhe sin.
Cruthú comhaid (aitheantas imeachta 11). Murab ionann agus Log Slándála, taispeánfaidh Sysmon ní hamháin suíomh an chomhaid, ach freisin a ainm. Is léir nach féidir leat súil a choinneáil ar gach rud, ach is féidir leat eolairí áirithe a iniúchadh.
Agus anois cad nach bhfuil i mbeartais Loga Slándála, ach atá i Sysmon:
Athrú ar an am cruthaithe comhad (ID Imeachta 2). Is féidir le roinnt malware dáta cruthaithe comhaid a cheilt chun é a cheilt ó thuairiscí ar chomhaid a cruthaíodh le déanaí.
Tiománaithe agus leabharlanna dinimiciúla á lódáil (IDanna imeachta 6-7). Monatóireacht a dhéanamh ar luchtú DLLs agus tiománaithe gléasanna isteach sa chuimhne, ag seiceáil an síniú digiteach agus a bhailíocht.
Cruthaigh snáithe i bpróiseas reatha (ID imeachta 8). Cineál amháin ionsaí nach mór monatóireacht a dhéanamh freisin.
Imeachtaí RawAccessRead (ID Imeachta 9). Oibríochtaí léite diosca ag baint úsáide as “.”. I bhformhór mór na gcásanna, ba cheart gníomhaíocht den sórt sin a mheas neamhghnácha.
Cruthaigh sruth comhaid ainmnithe (ID imeachta 15). Logáiltear imeacht nuair a chruthaítear sruth comhaid ainmnithe a astaíonn imeachtaí le hash d’inneachar an chomhaid.
Píobán agus nasc ainmnithe a chruthú (ID ócáid 17-18). Cód mailíseach a rianú a dhéanann cumarsáid le comhpháirteanna eile tríd an bpíopa ainmnithe.
Gníomhaíocht WMI (aitheantas imeachta 19). Clárú na n-imeachtaí a ghintear nuair a dhéantar rochtain ar an gcóras trí phrótacal WMI.
Chun Sysmon féin a chosaint, ní mór duit monatóireacht a dhéanamh ar imeachtaí le ID 4 (Sysmon ag stopadh agus ag tosú) agus ID 16 (athruithe cumraíochta Sysmon).
Logchomhaid Power Shell
Is uirlis chumhachtach é Power Shell chun bonneagar Windows a bhainistiú, agus mar sin tá seans ard go roghnóidh ionsaitheoir é. Tá dhá fhoinse ann ar féidir leat a úsáid chun sonraí imeachta Power Shell a fháil: logáil Windows PowerShell agus logáil Microsoft-WindowsPowerShell/Oibriúcháin.
Logchomhad PowerShell le haghaidh Windows
Soláthraí sonraí luchtaithe (aitheantas imeachta 600). Is cláir iad soláthraithe PowerShell a sholáthraíonn foinse sonraí do PowerShell chun féachaint orthu agus a bhainistiú. Mar shampla, d’fhéadfadh soláthraithe ionsuite a bheith ina n-athróga timpeallachta Windows nó i gclár an chórais. Ní mór monatóireacht a dhéanamh ar theacht chun cinn soláthraithe nua chun gníomhaíocht mhailíseach a bhrath in am. Mar shampla, má fheiceann tú WSMan le feiceáil i measc na soláthraithe, ansin tá seisiún iargúlta PowerShell tosaithe.
Loga oibriúcháin Microsoft-WindowsPowerShell / (nó MicrosoftWindows-PowerShellCore / Oibriúcháin i PowerShell 6)
Logánú modúil (ID imeachta 4103). Stórálann imeachtaí faisnéis faoi gach ordú a cuireadh i gcrích agus na paraiméadair lenar glaodh é.
Logánú blocála scripte (ID imeachta 4104). Taispeánann logáil blocála scripte gach bloc de chód PowerShell a cuireadh chun báis. Fiú má dhéanann ionsaitheoir iarracht an t-ordú a cheilt, taispeánfaidh an cineál teagmhais seo an t-ordú PowerShell a forghníomhaíodh i ndáiríre. Is féidir leis an gcineál teagmhais seo roinnt glaonna API íseal-leibhéil atá á ndéanamh a logáil freisin, déantar na himeachtaí seo a thaifeadadh mar Verbose de ghnáth, ach má úsáidtear ordú nó script amhrasach i mbloc cód, déanfar é a logáil mar dhéine Rabhadh.
Tabhair faoi deara, le do thoil, a luaithe a bheidh an uirlis cumraithe chun na himeachtaí seo a bhailiú agus a anailísiú, beidh gá le ham dífhabhtaithe breise chun líon na ndearbhuithe bréagacha a laghdú.
Inis dúinn sna nótaí tráchta cad iad na logaí a bhailíonn tú le haghaidh iniúchtaí slándála faisnéise agus cad iad na huirlisí a úsáideann tú chuige seo. Ar cheann dár réimsí tá réitigh chun imeachtaí slándála faisnéise a iniúchadh. Chun an fhadhb a bhaineann le logaí a bhailiú agus a anailísiú a réiteach, is féidir linn a mholadh breathnú níos dlúithe a dhéanamh orthu , ar féidir leis na sonraí stóráilte a chomhbhrú le cóimheas 20:1, agus tá sampla suiteáilte amháin de in ann suas le 60000 imeacht in aghaidh an tsoicind a phróiseáil ó 10000 foinse.
Foinse: will.com