
Is é an t-alt seo an chéad chuid de shraith ar anailís bagairt Sysmon. Gach cuid eile den tsraith:
Cuid 1: Réamhrá ar Anailís Logála Sysmon (tá muid anseo)
Cuid 2: Sonraí Imeachta Sysmon a Úsáid chun Bagairtí a Aithint
Cuid 3. Anailís dhomhain ar bhagairtí Sysmon ag baint úsáide as graif
Má oibríonn tú i slándáil faisnéise, is dócha go gcaithfidh tú ionsaithe leanúnacha a thuiscint go minic. Má tá súil oilte agat cheana féin, is féidir leat gníomhaíocht neamhchaighdeánach a lorg sna logaí “amh” neamhphróiseáilte - abair, script PowerShell ag rith nó script VBS atá faoi cheilt mar chomhad Word - trí scrollú tríd an ngníomhaíocht is déanaí sa log imeachtaí go simplí WindowsAch is tinneas cinn fíor é seo. Ar ámharaí an tsaoil, chruthaigh Microsoft Sysmon, rud a fhágann go bhfuil anailís ionsaithe i bhfad níos éasca.
Ar mhaith leat tuiscint a fháil ar na bunsmaointe atá taobh thiar de na bagairtí atá ar taispeáint i logáil Sysmon? Íoslódáil ár eolaire agus tuigeann tú conas is féidir le daoine istigh monatóireacht rúnda a dhéanamh ar fhostaithe eile. An phríomhfhadhb a bhaineann le bheith ag obair leis an log imeachtaí Windows Is í an fhadhb ná easpa eolais faoi phróisis thuismitheora, rud a chiallaíonn nach féidir ordlathas an phróisis a thuiscint. Ar an láimh eile, bíonn aitheantóir an phróisis tuismitheora, a ainm, agus an líne ordaithe atá á rith sna hiontrálacha loga Sysmon. Go raibh maith agat, a Microsoft.
Sa chéad chuid dár sraith, féachfaimid ar cad is féidir leat a dhéanamh le faisnéis bhunúsach ó Sysmon. I gCuid XNUMX, bainfimid leas iomlán as faisnéis próisis tuismitheora chun struchtúir chomhlíonta níos casta ar a dtugtar graif bhagairtí a chruthú. Sa tríú cuid, féachfaimid ar algartam simplí a dhéanann scanadh ar ghraf bagairt chun gníomhaíocht neamhghnách a chuardach trí “meáchan” an ghraif a anailísiú. Agus ag an deireadh, gheobhaidh tú luach saothair le modh braite bagairtí néata (agus intuigthe).
Cuid 1: Réamhrá ar Anailís Logála Sysmon
Cad a chabhróidh leat castachtaí an loga imeachtaí a thuiscint? I ndeireadh na dála - SIEM. Déanann sé imeachtaí a normalú agus a n-anailís ina dhiaidh sin a shimpliú. Ach ní gá dúinn dul chomh fada sin, ar a laghad ní ar dtús. Ar dtús, chun prionsabail SIEM a thuiscint, beidh sé go leor chun triail a bhaint as fóntais iontach Sysmon saor in aisce. Agus tá sé iontach éasca oibriú léi. Coinnigh suas é, Microsoft!
Cad iad na gnéithe atá ag Sysmon?
Go hachomair, cuireann sé faisnéis úsáideach agus inléite ar fáil faoi phróisis (féach na híomhánna thíos). Gheobhaidh tú a lán sonraí úsáideacha nach bhfuil le fáil sa log imeachtaí. Windows, ach is iad na réimsí seo a leanas na cinn is tábhachtaí:
- ID an phróisis (i ndeachúil, ní heicsidheachúlach!)
- Aitheantas próisis tuismitheora
- Próiseáil líne ordaithe
- Líne ordaithe an phróisis tuismitheora
- hash íomhá comhaid
- Ainmneacha íomhánna comhaid
Tá Sysmon suiteáilte mar thiománaí feiste agus mar sheirbhís - tuilleadh sonraí Is é an buntáiste lárnach atá aige ná an cumas chun logaí a anailísiú ó roinnt foinsí, comhghaolú faisnéise agus aschur na luachanna mar thoradh air go dtí fillteán logála imeachta amháin atá suite feadh an chosáin Microsoft -> Windows -> Sysmon -> OibríochtúilI mo chuid imscrúduithe loga féin WindowsMar gheall ar earráidí corraitheacha mar seo, b'éigean dom athrú i gcónaí idir, abair, fillteán logaí PowerShell agus fillteán Slándála, ag scrollú trí logaí imeachtaí in iarracht chróga na luachanna eatarthu a chomhghaolú ar bhealach éigin. Ní tasc éasca é seo riamh, agus mar a thuig mé níos déanaí, bheadh sé níos fearr stoc aspirín a cheannach láithreach.
Tógann Sysmon céim chandamach chun cinn trí fhaisnéis úsáideach (nó mar is maith le díoltóirí a rá, inghníomhaithe) a sholáthar chun cabhrú le próisis bhunúsacha a thuiscint. Mar shampla, thosaigh mé seisiún rúnda , ag insamhladh gluaiseacht duine istigh cliste laistigh den líonra. Seo an rud a fheicfidh tú sa log imeachta. Windows:

Sa dialann Windows Tá roinnt faisnéise faoin bpróiseas le feiceáil, ach níl sé an-úsáideach. Chomh maith leis sin, aitheantóirí próisis i bhfoirm heicsidheachúlach?
Maidir le gairmí TF gairmiúil a bhfuil tuiscint aige ar na bunghnéithe hacking, ba cheart go mbeadh an líne ordaithe amhrasach. Ag baint úsáide as cmd.exe chun ordú eile a rith ansin agus an t-aschur a atreorú chuig comhad a bhfuil ainm aisteach air is léir go bhfuil sé cosúil le gníomhartha bogearraí monatóireachta agus rialaithe : Ar an mbealach seo, cruthaítear pseudo-bhlaosc ag baint úsáide as seirbhísí WMI.
Anois féachaimis ar choibhéis iontrála Sysmon, ag tabhairt faoi deara an méid faisnéise breise a thugann sé dúinn:

Gnéithe Sysmon i ngabháil scáileáin amháin: faisnéis mhionsonraithe faoin bpróiseas i bhfoirm inléite
Ní hamháin go bhfeiceann tú an líne ordaithe, ach ainm an chomhaid freisin, an cosán chuig an bhfeidhmchlár inrite, a Windows tá a fhios aige faoi ("Windows "Próiseálaí Ordú", aitheantóir tuismitheora próiseas, ordú líne tuismitheoir, a sheol an bhlaosc cmd, chomh maith le fíor-ainm comhaid an phróisis tuismitheora. Gach rud in aon áit amháin, ar deireadh!
Ó logáil Sysmon is féidir linn a thabhairt ar an gconclúid, le leibhéal ard dóchúlachta, nach bhfuil an líne ordaithe amhrasach seo a chonaic muid sna logaí “amh” mar thoradh ar ghnáthobair an fhostaí. A mhalairt ar fad, is próiseas cosúil le C2 a ghin é - wmiexec, mar a luaigh mé níos luaithe - agus bhí sé sceite go díreach ag próiseas seirbhíse WMI (WmiPrvSe). Anois tá táscaire againn go bhfuil cianionsaitheoir nó cos istigh ag tástáil an bhonneagair chorparáidigh.
Ag tabhairt isteach Get-Sysmonlogs
Ar ndóigh tá sé iontach nuair a chuireann Sysmon na logaí in aon áit amháin. Ach is dócha go mbeadh sé níos fearr fós dá bhféadfaimis rochtain a fháil ar réimsí logála aonair go cláir - mar shampla, trí orduithe PowerShell. Sa chás seo, d'fhéadfá script PowerShell beag a scríobh a dhéanfadh uathoibriú an cuardach le haghaidh bagairtí féideartha!
Ní raibh mé ar an gcéad duine a raibh smaoineamh den sórt sin agam. Agus is maith é sin i roinnt post fóraim agus GitHub Míníodh cheana féin conas PowerShell a úsáid chun logáil Sysmon a pharsáil. I mo chás, bhí mé ag iarraidh a sheachaint go mbeadh orm línte ar leith de script parsála a scríobh do gach réimse Sysmon. Mar sin d'úsáid mé prionsabal an duine leisciúil agus sílim gur tháinig mé suas le rud éigin suimiúil mar thoradh air.
Is é an chéad phointe tábhachtach ná cumas na foirne léigh logaí Sysmon, scag na himeachtaí riachtanacha agus aschuir an toradh chuig an athróg PS, mar atá anseo:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Más mian leat an t-ordú a thástáil tú féin, tríd an ábhar a thaispeáint sa chéad eilimint den eagar $events, $events[0].Message, is féidir leis an aschur a bheith ina shraith teaghráin téacs le formáid an-simplí: ainm an Réimse Sysmon, idirstad, agus ansin an luach féin.

Hooray! Aschur Sysmon logáil isteach i bhformáid JSON-réidh
An bhfuil tú ag smaoineamh ar an rud céanna liomsa? Le beagán níos mó iarrachta, is féidir leat an t-aschur a thiontú go teaghrán formáidithe JSON agus ansin é a luchtú go díreach isteach i réad PS ag úsáid ordú cumhachtach .
Taispeánfaidh mé an cód PowerShell don chomhshó - tá sé an-simplí - sa chéad chuid eile. Faoi láthair, déanaimis a fheiceáil cad is féidir le mo ordú nua ar a dtugtar get-sysmonlogs, a chuir mé isteach mar mhodúl PS, a dhéanamh.
In ionad tumadóireacht a dhéanamh go domhain in anailís logála Sysmon trí chomhéadan logála ócáide deacair, is féidir linn gníomhaíocht incriminteach a chuardach go díreach ó sheisiún PowerShell, chomh maith leis an ordú PS a úsáid. (ailias – “?") chun na torthaí cuardaigh a ghiorrú:

Liosta de na sliogáin cmd seolta trí WMI. Anailís Bagairt ar an Cheap lenár bhFoireann Faigh-Sysmonlogs Féin
Iontach! Chruthaigh mé uirlis chun logáil Sysmon a vótaíocht amhail is dá mba bhunachar sonraí é. In ár n-alt faoi tugadh faoi deara go gcomhlíonfaidh an áirgiúlacht fionnuar a bhfuil cur síos air ann an fheidhm seo, cé go bhfuil sé fós go foirmiúil trí chomhéadan fíor-mhaith SQL. Sea, EQL galánta, ach déanfaimid teagmháil leis sa tríú cuid.
Sysmon agus anailís graf
Glacaimis céim siar agus smaoinímis ar a bhfuil cruthaithe againn díreach. Go bunúsach, tá bunachar sonraí imeachtaí againn anois. Windows, inrochtana trí PowerShell. Mar a thug mé faoi deara níos luaithe, tá naisc nó caidrimh idir taifid—trí ParentProcessId—ionas gur féidir leat ordlathas iomlán an phróisis a aisghabháil.
Má tá an tsraith léite agat tá a fhios agat gur breá le hackers ionsaithe casta ilchéime a chruthú, ina n-imríonn gach próiseas a ról beag féin agus ina n-ullmhaíonn sé phreabchlár don chéad chéim eile. Tá sé thar a bheith deacair rudaí den sórt sin a ghabháil go simplí ón log “amh”.
Ach le mo ordú Get-Sysmonlogs agus struchtúr sonraí breise féachfaimid air níos déanaí sa téacs (graf, ar ndóigh), tá bealach praiticiúil againn chun bagairtí a bhrath - rud nach gá ach an cuardach ceart rinn a dhéanamh.
Mar is gnáth lenár dtionscadail bhlag DYI, dá mhéad a oibríonn tú ar anailís a dhéanamh ar shonraí bagairtí ar scála beag, is amhlaidh is mó a thuigfidh tú cé chomh casta is atá sé bagairtí a bhrath ag leibhéal an fhiontair. Agus tá an fheasacht seo thar a bheith pointe tábhachtach.
Tabharfaimid aghaidh ar na chéad deacrachtaí suimiúla sa dara cuid den alt, áit a gcuirfimid tús le himeachtaí Sysmon a nascadh lena chéile i struchtúir i bhfad níos casta.
Foinse: will.com
