Is e stèisean-obrach an neach-cleachdaidh am puing as so-leònte den bhun-structar a thaobh tèarainteachd fiosrachaidh. Faodaidh luchd-cleachdaidh litir fhaighinn chun phost-d obrach aca a tha coltach gu bheil e bho stòr sàbhailte, ach le ceangal gu làrach le galair. Is dòcha gun luchdaich cuideigin sìos goireas a tha feumail airson obair bho àite neo-aithnichte. Faodaidh, faodaidh tu dusanan de chùisean a chruthachadh a thaobh mar as urrainn do malware goireasan corporra a-staigh a thoirt a-steach tro luchd-cleachdaidh. Mar sin, feumaidh ionadan-obrach barrachd aire, agus san artaigil seo innsidh sinn dhut càite agus dè na tachartasan a bu chòir a ghabhail gus sùil a chumail air ionnsaighean.
Gus ionnsaigh a lorg aig an ìre as tràithe a tha comasach, tha trì stòran tachartais feumail aig WINdows: an Log Tachartas Tèarainteachd, Log Sgrùdaidh an t-Siostaim, agus na Logaichean Power Shell.
Loga tachartas tèarainteachd
Is e seo am prìomh àite stòraidh airson logaichean tèarainteachd siostam. Tha seo a’ toirt a-steach tachartasan logadh a-steach / logadh a-mach luchd-cleachdaidh, ruigsinneachd gu nithean, atharrachaidhean poileasaidh, agus gnìomhan eile co-cheangailte ri tèarainteachd. Gu dearbh, ma tha am poileasaidh iomchaidh air a rèiteachadh.
Àireamhachd luchd-cleachdaidh agus buidhnean (tachartasan 4798 agus 4799). Aig fìor thoiseach ionnsaigh, bidh malware gu tric a’ sgrùdadh tro chunntasan luchd-cleachdaidh ionadail agus buidhnean ionadail air ionad-obrach gus teisteanasan a lorg airson na gnothaichean dubharach aige. Cuidichidh na tachartasan sin le bhith a’ lorg còd droch-rùnach mus gluais e air adhart agus, a’ cleachdadh an dàta a chaidh a chruinneachadh, ga sgaoileadh gu siostaman eile.
Cruthachadh cunntas ionadail agus atharrachaidhean ann am buidhnean ionadail (tachartasan 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 agus 5377). Faodaidh an ionnsaigh tòiseachadh cuideachd, mar eisimpleir, le bhith a’ cur cleachdaiche ùr ris a’ bhuidheann rianadairean ionadail.
Oidhirpean logadh a-steach le cunntas ionadail (tachartas 4624). Bidh luchd-cleachdaidh measail a’ logadh a-steach le cunntas fearainn, agus faodaidh comharrachadh logadh a-steach fo chunntas ionadail a bhith a’ ciallachadh toiseach ionnsaigh. Tha Tachartas 4624 cuideachd a’ toirt a-steach logaichean fo chunntas àrainn, mar sin nuair a bhios tu a’ giullachd thachartasan, feumaidh tu tachartasan a shìoladh a-mach far a bheil an àrainn eadar-dhealaichte bho ainm an ionad-obrach.
Oidhirp ri logadh a-steach leis a’ chunntas ainmichte (tachartas 4648). Bidh seo a’ tachairt nuair a tha am pròiseas a’ ruith ann am modh “run as”. Cha bu chòir seo tachairt rè obrachadh àbhaisteach shiostaman, agus mar sin feumar smachd a chumail air tachartasan mar sin.
Glasadh/fuasgladh an ionad-obrach (tachartasan 4800-4803). Tha an roinn de thachartasan amharasach a’ toirt a-steach gnìomhan sam bith a thachair air ionad-obrach glaiste.
Atharraichean rèiteachadh balla-teine (tachartasan 4944-4958). Gu follaiseach, nuair a bhios tu a’ stàladh bathar-bog ùr, faodaidh na roghainnean rèiteachaidh balla-teine atharrachadh, rud a dh’ adhbhraicheas nithean ceàrr. Anns a 'mhòr-chuid de chùisean, chan eil feum air smachd a chumail air na h-atharrachaidhean sin, ach gu cinnteach cha bhith e doirbh fios a bhith aca mun deidhinn.
A’ ceangal innealan Plug’n’play (tachartas 6416 agus dìreach airson Windows 10). Tha e cudromach sùil a chumail air seo mura bi luchd-cleachdaidh mar as trice a’ ceangal innealan ùra ris an ionad-obrach, ach gu h-obann bidh iad a’ dèanamh.
Tha Windows a’ toirt a-steach 9 roinnean sgrùdaidh agus 50 fo-roinnean airson gleusadh. An seata as lugha de fo-roinnean a bu chòir a bhith comasach anns na roghainnean:
Logon / Logoff
- Suaicheantas;
- Suaicheantas;
- Glasadh Cunntas;
- Tachartasan Logadh / Logoff eile.
Stiùireadh Cunntais
- Riaghladh Cunntas Cleachdaiche;
- Riaghladh Buidheann Tèarainteachd.
Atharrachadh Poileasaidh
- Atharrachadh Poileasaidh Sgrùdaidh;
- Atharrachadh Poileasaidh Dearbhaidh;
- Atharrachadh Poileasaidh Ùghdarrachaidh.
Monitor siostam (Sysmon)
Tha Sysmon na ghoireas a chaidh a thogail a-steach do Windows as urrainn tachartasan a chlàradh ann an log an t-siostaim. Mar as trice feumaidh tu a stàladh air leth.
Faodar na h-aon tachartasan sin a lorg, ann am prionnsapal, anns a’ chlàr tèarainteachd (le bhith a’ comasachadh a’ phoileasaidh sgrùdaidh a tha thu ag iarraidh), ach tha Sysmon a’ toirt seachad barrachd mion-fhiosrachaidh. Dè na tachartasan a ghabhas toirt bho Sysmon?
Cruthachadh pròiseas (ID tachartas 1). Faodaidh loga tachartas tèarainteachd an t-siostaim innse dhut cuideachd cuin a thòisich * .exe agus eadhon a ’nochdadh ainm agus slighe cur air bhog. Ach eu-coltach ri Sysmon, cha bhith e comasach dha hash an tagraidh a shealltainn. Is dòcha gu bheil eadhon bathar-bog droch-rùnach air ainmeachadh mar notepad.exe gun chron, ach is e an hash a bheir am follais e.
Ceanglaichean Lìonra (ID Tachartas 3). Gu follaiseach, tha tòrr cheanglaichean lìonra ann, agus tha e do-dhèanta cunntas a chumail orra uile. Ach tha e cudromach beachdachadh gum faod Sysmon, eu-coltach ri Log tèarainteachd, ceangal lìonra a cheangal ris na raointean ProcessID agus ProcessGUID, agus a’ sealltainn puirt is seòlaidhean IP an tobair agus an ceann-uidhe.
Atharraichean ann an clàr an t-siostaim (ID tachartas 12-14). Is e an dòigh as fhasa thu fhèin a chuir ri autorun clàradh sa chlàr. Faodaidh Log tèarainteachd seo a dhèanamh, ach tha Sysmon a’ sealltainn cò rinn na h-atharrachaidhean, cuin, cò às a thàinig, ID pròiseas agus am prìomh luach a bh’ ann roimhe.
Cruthachadh faidhle (ID tachartas 11). Bidh Sysmon, eu-coltach ri Log Tèarainteachd, a’ sealltainn chan ann a-mhàin far a bheil am faidhle, ach cuideachd ainm. Tha e soilleir nach urrainn dhut sùil a chumail air a h-uile càil, ach faodaidh tu clàran sònraichte a sgrùdadh.
Agus a-nis an rud nach eil ann am poileasaidhean Log Tèarainteachd, ach a tha ann an Sysmon:
Atharrachadh ùine cruthachadh faidhle (ID Tachartas 2). Faodaidh cuid de malware ceann-latha cruthachaidh faidhle a chuir am falach gus a chuir am falach bho aithisgean mu fhaidhlichean a chaidh a chruthachadh o chionn ghoirid.
A’ luchdachadh dhraibhearan agus leabharlannan fiùghantach (IDan tachartais 6-7). A’ cumail sùil air luchdachadh DLLs agus draibhearan inneal gu cuimhne, a’ sgrùdadh an ainm-sgrìobhte didseatach agus a dhligheachd.
Cruthaich snàithlean ann am pròiseas ruith (ID tachartas 8). Is e aon seòrsa ionnsaigh a dh’ fheumar sùil a chumail cuideachd.
Tachartasan RawAccessRead (Tachartas ID 9). Obraichean leughaidh diosc a’ cleachdadh “.”. Anns a 'mhòr-chuid de chùisean, bu chòir a leithid de ghnìomhachd a bhith air a mheas neo-àbhaisteach.
Cruthaich sruth faidhle ainmichte (ID tachartas 15). Tha tachartas air a chlàradh nuair a thèid sruth faidhle ainmichte a chruthachadh a bhios a’ sgaoileadh thachartasan le hash de shusbaint an fhaidhle.
A’ cruthachadh pìob agus ceangal ainmichte (tachartas ID 17-18). Tracadh droch-rùnach còd a tha a 'conaltradh le co-phàirtean eile tro ainmichte pìoba.
Gnìomh WMI (tachartas ID 19). Clàradh thachartasan a thèid a chruthachadh nuair a gheibh thu cothrom air an t-siostam tro phròtacal WMI.
Gus Sysmon fhèin a dhìon, feumaidh tu sùil a chumail air tachartasan le ID 4 (Sysmon a’ stad agus a’ tòiseachadh) agus ID 16 (atharrachaidhean rèiteachaidh Sysmon).
Logaichean Power Shell
Tha Power Shell na inneal cumhachdach airson bun-structar Windows a riaghladh, agus mar sin tha cothroman ann gun tagh neach-ionnsaigh e. Tha dà stòr ann as urrainn dhut a chleachdadh gus dàta tachartas Power Shell fhaighinn: log Windows PowerShell agus log Microsoft-WindowsPowerShell / Operational.
Loga Windows PowerShell
Solaraiche dàta air a luchdachadh (ID tachartas 600). Tha solaraichean PowerShell nam prògraman a bheir seachad stòr dàta airson PowerShell fhaicinn agus a riaghladh. Mar eisimpleir, dh’ fhaodadh solaraichean togte a bhith nan caochladairean àrainneachd Windows no clàr an t-siostaim. Feumar sùil a chumail air nochdadh solaraichean ùra gus gnìomhachd droch-rùnach a lorg ann an ùine. Mar eisimpleir, ma chì thu WSMan a’ nochdadh am measg nan solaraichean, an uairsin chaidh seisean PowerShell iomallach a thòiseachadh.
Microsoft-WindowsPowerShell / Log obrachaidh (no MicrosoftWindows-PowerShellCore / Gnìomhach ann an PowerShell 6)
Logadh mhodalan (ID tachartas 4103). Bidh tachartasan a’ stòradh fiosrachadh mu gach àithne a chaidh a chuir gu bàs agus na crìochan leis an deach a ghairm.
Logadh bacadh sgriobtaichean (tachartas ID 4104). Tha logadh bacadh sgriobt a’ sealltainn a h-uile bloc de chòd PowerShell air a chuir gu bàs. Fiù ma dh’ fheuchas neach-ionnsaigh ris an àithne fhalach, seallaidh an seòrsa tachartais seo an àithne PowerShell a chaidh a chuir gu bàs. Faodaidh an seòrsa tachartais seo cuideachd cuid de ghairmean API aig ìre ìosal a chlàradh, mar as trice bidh na tachartasan sin air an clàradh mar Verbose, ach ma thèid àithne no sgriobt amharasach a chleachdadh ann am bloc de chòd, thèid a chlàradh mar rabhadh Rabhadh.
Thoir an aire, aon uair ‘s gu bheil an inneal air a rèiteachadh gus na tachartasan sin a chruinneachadh agus a sgrùdadh, bidh feum air ùine deasbaid a bharrachd gus an àireamh de rudan ceàrr a lughdachadh.
Inns dhuinn anns na beachdan dè na logaichean a chruinnicheas tu airson sgrùdaidhean tèarainteachd fiosrachaidh agus dè na h-innealan a bhios tu a’ cleachdadh airson seo. Is e aon de na raointean fòcas againn fuasglaidhean airson tachartasan tèarainteachd fiosrachaidh a sgrùdadh. Gus fuasgladh fhaighinn air an duilgheadas a thaobh a bhith a 'cruinneachadh agus a' sgrùdadh chlàran, is urrainn dhuinn moladh a thoirt sùil nas mionaidiche , as urrainn dàta a tha air a stòradh a dhlùthadh le co-mheas de 20: 1, agus tha aon eisimpleir stàlaichte dheth comasach air suas ri 60000 tachartas gach diog a ghiullachd bho stòran 10000.
Source: www.habr.com