Is e an artaigil seo a’ chiad phàirt de shreath air mion-sgrùdadh bagairt Sysmon. A h-uile pàirt eile den t-sreath:
Pàirt 1: Ro-ràdh do Sysmon Log Analysis (tha sinn an seo)
Pàirt 2: A’ cleachdadh Dàta Tachartas Sysmon gus Cunnartan aithneachadh
Pàirt 3. Mion-sgrùdadh air bagairtean Sysmon a 'cleachdadh ghrafaichean
Ma tha thu ag obair ann an tèarainteachd fiosrachaidh, is dòcha gu feum thu ionnsaighean leantainneach a thuigsinn. Ma tha sùil ionnsaichte agad mu thràth, faodaidh tu coimhead airson gnìomhachd neo-àbhaisteach anns na logaichean “amh” gun phròiseas - can, sgriobt PowerShell a’ ruith
A bheil thu airson na beachdan bunaiteach air cùl nam bagairtean a tha air an taisbeanadh ann an log Sysmon a thuigsinn? Luchdaich sìos an stiùireadh againn
Anns a’ chiad phàirt den t-sreath againn, seallaidh sinn ri dè as urrainn dhut a dhèanamh le fiosrachadh bunaiteach bho Sysmon. Ann am Pàirt XNUMX, gabhaidh sinn làn chothrom air fiosrachadh mu phròiseas phàrant gus structaran gèillidh nas iom-fhillte a chruthachadh ris an canar grafaichean bagairt. Anns an treas pàirt, seallaidh sinn ri algorithm sìmplidh a bhios a’ sganadh graf bagairt gus gnìomhachd neo-àbhaisteach a lorg le bhith a’ dèanamh anailis air “cuideam” a’ ghraf. Agus aig a’ cheann thall, gheibh thu duais le dòigh lorg bagairt sgiobalta (agus so-thuigsinn).
Pàirt 1: Ro-ràdh do Sysmon Log Analysis
Dè a chuidicheas tu gus iom-fhillteachd log an tachartais a thuigsinn? Mu dheireadh thall - SIEM. Bidh e a’ gnàthachadh thachartasan agus a’ sìmpleachadh an anailis às deidh sin. Ach chan fheum sinn a dhol cho fada sin, co-dhiù chan ann an toiseach. Anns an toiseach, gus prionnsapalan SIEM a thuigsinn, bidh e gu leòr feuchainn air goireas iongantach Sysmon an-asgaidh. Agus tha i iongantach furasta obrachadh leatha. Cùm suas e, Microsoft!
Dè na feartan a th’ aig Sysmon?
Ann an ùine ghoirid - fiosrachadh feumail agus leughaidh mu na pròiseasan (faic dealbhan gu h-ìosal). Lorgaidh tu dòrlach de dh’ fhiosrachadh feumail nach eil ann an Log Tachartas Windows, ach is iad na raointean a leanas an fheadhainn as cudromaiche:
- ID pròiseas (ann an deicheach, chan e hex!)
- ID pròiseas pàrant
- Loidhne-àithne pròiseas
- Loidhne-àithne a’ phròiseas phàrant
- hash dealbh faidhle
- Ainmean dealbhan faidhle
Tha Sysmon air a chuir a-steach an dà chuid mar dhràibhear inneal agus mar sheirbheis - barrachd fiosrachaidh
Bidh Sysmon a’ toirt leum cuantamach air adhart le bhith a’ toirt seachad fiosrachadh feumail (no mar a tha luchd-reic ag iarraidh a ràdh, gnìomh) gus cuideachadh le bhith a’ tuigsinn phròiseasan bunaiteach. Mar eisimpleir, thòisich mi air seisean dìomhair
Tha log Windows a’ sealltainn beagan fiosrachaidh mun phròiseas, ach chan eil e gu feum sam bith. A bharrachd air IDan pròiseas ann an hexadecimal ???
Airson proifeasanta IT proifeasanta le tuigse air bunaitean hacaidh, bu chòir an loidhne-àithne a bhith amharasach. Tha e soilleir gu bheil cleachdadh cmd.exe gus àithne eile a ruith agus an toradh ath-stiùireadh gu faidhle le ainm neònach coltach ri gnìomhan bathar-bog sgrùdaidh is smachd
A-nis leig dhuinn sùil a thoirt air an inntrigeadh Sysmon co-ionann, a’ mothachadh na tha de dh’ fhiosrachadh a bharrachd a bheir e dhuinn:
Tha Sysmon a’ nochdadh ann an aon dealbh-sgrìn: fiosrachadh mionaideach mun phròiseas ann an cruth a ghabhas leughadh
Chan e a-mhàin gum faic thu an loidhne-àithne, ach cuideachd ainm an fhaidhle, an t-slighe chun tagradh so-ghnìomhaichte, na tha fios aig Windows mu dheidhinn (“Windows Command Processor”), an aithnichear phàrant pròiseas, loidhne-àithne pàrant, a chuir an slige cmd air bhog, a bharrachd air fìor ainm faidhle a’ phròiseas phàrant. A h-uile dad ann an aon àite, mu dheireadh!
Bho log Sysmon faodaidh sinn a cho-dhùnadh le ìre àrd de choltas nach eil an loidhne-àithne amharasach seo a chunnaic sinn anns na logaichean “amh” mar thoradh air obair àbhaisteach an neach-obrach. Air an làimh eile, chaidh a chruthachadh le pròiseas coltach ri C2 - wmiexec, mar a thuirt mi na bu thràithe - agus chaidh a shìolachadh gu dìreach le pròiseas seirbheis WMI (WmiPrvSe). A-nis tha comharra againn gu bheil neach-ionnsaigh iomallach no neach-dìon a’ dèanamh deuchainn air a’ bhun-structar corporra.
A’ toirt a-steach Get-Sysmonlogs
Gu dearbh tha e math nuair a chuireas Sysmon na logaichean ann an aon àite. Ach is dòcha gum biodh e eadhon na b’ fheàrr nam b ’urrainn dhuinn faighinn gu raointean log fa leth gu prògramach - mar eisimpleir, tro òrdughan PowerShell. Anns a 'chùis seo, dh' fhaodadh tu sgriobt PowerShell beag a sgrìobhadh a dhèanadh fèin-ghluasad air rannsachadh airson bagairtean a dh'fhaodadh a bhith ann!
Cha b 'e mise a' chiad fhear a fhuair a leithid de bheachd. Agus tha e math sin ann an cuid de phuist fòram agus GitHub
Is e a’ chiad phuing chudromach comas na sgioba
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Ma tha thu airson an àithne a dhearbhadh thu fhèin, le bhith a’ sealltainn an t-susbaint sa chiad eileamaid den raon $events, $events[0].Teachdaireachd, faodaidh an toradh a bhith na shreath de shreathan teacsa le cruth gu math sìmplidh: ainm an Raon Sysmon, coloin, agus an uairsin an luach fhèin.
Hooray! Log a-mach Sysmon a-steach gu cruth deiseil JSON
A bheil thu a’ smaoineachadh an aon rud riumsa? Le beagan a bharrachd oidhirp, faodaidh tu an toradh a thionndadh gu sreang cruth JSON agus an uairsin a luchdachadh gu dìreach a-steach do nì PS a’ cleachdadh àithne cumhachdach
Seallaidh mi an còd PowerShell airson an tionndadh - tha e gu math sìmplidh - anns an ath phàirt. Airson a-nis, chì sinn dè as urrainn don àithne ùr agam ris an canar get-sysmonlogs, a chuir mi a-steach mar mhodal PS, a dhèanamh.
An àite a bhith a ’dàibheadh gu domhainn a-steach do mhion-sgrùdadh log Sysmon tro eadar-aghaidh log tachartais mì-ghoireasach, is urrainn dhuinn gun oidhirp a bhith a’ lorg gnìomhachd mean air mhean gu dìreach bho sheisean PowerShell, a bharrachd air an àithne PS a chleachdadh
Liosta de shligean cmd air an cur air bhog tro WMI. Mion-sgrùdadh Cunnart air an t-saor leis an Sgioba Get-Sysmonlogs againn fhìn
Iongantach! Chruthaich mi inneal airson sgrùdadh a dhèanamh air log Sysmon mar gum b’ e stòr-dàta a bh’ ann. Anns an artaigil againn mu dheidhinn
Sysmon agus mion-sgrùdadh graf
Gabhamaid ceum air ais agus smaoinich sinn air na chruthaich sinn. Gu bunaiteach, tha stòr-dàta tachartas Windows againn a-nis ruigsinneach tro PowerShell. Mar a thuirt mi na bu thràithe, tha ceanglaichean no dàimhean eadar clàran - tron ParentProcessId - gus am faighear rangachd iomlan de phròiseasan.
Ma tha thu air an t-sreath a leughadh
Ach leis an àithne Get-Sysmonlogs agam agus structar dàta a bharrachd air am bi sinn a’ coimhead nas fhaide air adhart san teacsa (graf, gu dearbh), tha dòigh phractaigeach againn airson bagairtean a lorg - a dh’ fheumas dìreach an sgrùdadh vertex ceart a dhèanamh.
Mar as àbhaist le ar pròiseactan blog DYI, mar as motha a dh’ obraicheas tu air mion-sgrùdadh mion-fhiosrachadh air bagairtean air sgèile bheag, is ann as motha a thuigeas tu cho iom-fhillte ‘s a tha lorg bagairtean aig ìre iomairt. Agus tha an mothachadh seo uamhasach puing chudromach.
Coinnichidh sinn ris a 'chiad dhuilgheadasan inntinneach anns an dàrna pàirt den artaigil, far an tòisich sinn a' ceangal thachartasan Sysmon ri chèile gu structaran mòran nas iom-fhillte.
Source: www.habr.com