Wurin aiki mai amfani shine wurin da ya fi dacewa da abubuwan more rayuwa ta fuskar tsaro na bayanai. Masu amfani za su iya karɓar wasiƙa zuwa imel ɗin aikin su wanda ya bayyana daga tushe mai aminci, amma tare da hanyar haɗi zuwa rukunin yanar gizo mai cutar. Wataƙila wani zai zazzage abin amfani mai amfani don aiki daga wurin da ba a sani ba. Ee, zaku iya fito da lamura da dama na yadda malware ke iya kutsawa cikin albarkatun kamfanoni na ciki ta hanyar masu amfani. Don haka, wuraren aiki suna buƙatar ƙarin hankali, kuma a cikin wannan labarin za mu gaya muku inda da abubuwan da za ku ɗauka don saka idanu kan hare-hare.
Don gano hari a matakin farko na yuwuwar, WIndows yana da tushen abubuwan aukuwa guda uku masu fa'ida: Log ɗin Abubuwan da suka faru na Tsaro, Log ɗin Kula da Tsari, da Logs na Shell Power.
Log ɗin Taron Tsaro
Wannan shine babban wurin ajiya don rajistan ayyukan tsaro na tsarin. Wannan ya haɗa da abubuwan da suka faru na shiga/ fita mai amfani, samun dama ga abubuwa, canje-canjen manufofi da sauran ayyukan da suka shafi tsaro. Tabbas, idan an tsara manufofin da suka dace.
Ƙididdigar masu amfani da ƙungiyoyi (abubuwan da suka faru 4798 da 4799). A farkon harin, malware yakan bincika ta asusun masu amfani na gida da ƙungiyoyin gida akan wurin aiki don nemo takaddun shaidar mu'amalarsa. Waɗannan abubuwan da suka faru za su taimaka gano lambar ƙeta kafin ta ci gaba kuma, ta amfani da bayanan da aka tattara, yada zuwa wasu tsarin.
Ƙirƙirar asusun gida da canje-canje a cikin ƙungiyoyin gida (abubuwa 4720, 4722-4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 da 5377). Har ila yau, harin na iya farawa, misali, ta ƙara sabon mai amfani zuwa rukunin masu gudanarwa na gida.
Ƙoƙarin shiga tare da asusun gida (wasu lamari 4624). Masu amfani masu daraja suna shiga tare da asusun yanki, kuma gano shiga ƙarƙashin asusun gida na iya nufin farkon harin. Lamarin 4624 kuma ya haɗa da shiga ƙarƙashin asusun yanki, don haka lokacin sarrafa abubuwan, kuna buƙatar tace abubuwan da ke faruwa inda yankin ya bambanta da sunan wurin aiki.
Ƙoƙari na shiga tare da ƙayyadadden asusu (wakilin 4648). Wannan yana faruwa lokacin da tsari ke gudana a cikin yanayin "gudu kamar". Wannan bai kamata ya faru ba yayin aiki na yau da kullun na tsarin, don haka dole ne a sarrafa irin waɗannan abubuwan.
Kulle/buɗe wurin aiki (abubuwan da suka faru 4800-4803). Nau'in abubuwan da ake tuhuma sun haɗa da duk wani aiki da ya faru akan madaidaicin wurin aiki.
Canje-canjen daidaitawar Firewall (abubuwan da suka faru 4944-4958). Babu shakka, lokacin shigar da sabbin software, saitunan saitin bangon wuta na iya canzawa, wanda zai haifar da tabbataccen ƙarya. A mafi yawancin lokuta, babu buƙatar sarrafa irin waɗannan canje-canje, amma tabbas ba zai cutar da sanin su ba.
Haɗa na'urorin Plug'n'play (wakilin 6416 kuma don WIndows 10 kawai). Yana da mahimmanci a sa ido kan wannan idan masu amfani yawanci ba sa haɗa sabbin na'urori zuwa wurin aiki, amma sai kwatsam suka yi.
Windows ya ƙunshi nau'ikan tantancewa guda 9 da rukunai 50 don daidaitawa. Mafi ƙanƙancin saiti na ƙananan rukunoni waɗanda yakamata a kunna su a cikin saitunan:
Logon / Logoff
- Logon;
- Logoff;
- Kulle Account;
- Sauran Abubuwan Logon/Logoff.
account Management
- Gudanar da Asusun Mai amfani;
- Gudanarwar Rukunin Tsaro.
Canjin Siyasa
- Canjin Manufofin Bincike;
- Canjin Manufofin Tabbatarwa;
- Canjin Manufofin Izini.
Tsarin Kulawa (Sysmon)
Sysmon kayan aiki ne da aka gina a cikin Windows wanda zai iya rikodin abubuwan da suka faru a cikin log ɗin tsarin. Yawancin lokaci kuna buƙatar shigar da shi daban.
Ana iya samun waɗannan abubuwan guda ɗaya, bisa ƙa'ida, a cikin log ɗin tsaro (ta hanyar kunna manufofin duba da ake so), amma Sysmon yana ba da ƙarin cikakkun bayanai. Wadanne abubuwa ne za a iya ɗauka daga Sysmon?
Ƙirƙirar tsari (ID 1). Login taron tsaro na tsarin kuma zai iya gaya muku lokacin da aka ƙaddamar da * .exe har ma ya nuna sunansa da hanyar ƙaddamarwa. Amma ba kamar Sysmon ba, ba zai iya nuna hash ɗin aikace-aikacen ba. Ana iya kiran software mai cutarwa ma notepad.exe mara lahani, amma zanta ne zai kawo haske.
Haɗin Yanar Gizo (ID na Event 3). Babu shakka, akwai haɗin yanar gizo da yawa, kuma ba shi yiwuwa a ci gaba da lura da su duka. Amma yana da mahimmanci a yi la'akari da cewa Sysmon, ba kamar Tsaro Log ba, na iya ɗaure hanyar sadarwar hanyar sadarwa zuwa filayen ProcessID da ProcessGUID, kuma yana nuna tashar jiragen ruwa da adiresoshin IP na tushen da kuma makoma.
Canje-canje a cikin tsarin rajista (ID na taron 12-14). Hanya mafi sauƙi don ƙara kanku zuwa autorun shine yin rajista a cikin rajista. Log ɗin Tsaro zai iya yin wannan, amma Sysmon ya nuna wanda ya yi canje-canje, lokacin, daga ina, ID ɗin tsari da ƙimar maɓalli na baya.
Ƙirƙirar fayil (ID na taron 11). Sysmon, ba kamar Tsaro Log ba, zai nuna ba kawai wurin da fayil ɗin yake ba, har ma da sunansa. A bayyane yake cewa ba za ku iya lura da komai ba, amma kuna iya duba wasu kundayen adireshi.
Kuma yanzu abin da baya cikin manufofin Log ɗin Tsaro, amma yana cikin Sysmon:
Canjin lokacin ƙirƙirar fayil (ID 2). Wasu malware na iya ɓarna ranar ƙirƙirar fayil don ɓoye shi daga rahotannin fayilolin da aka ƙirƙira kwanan nan.
Ana loda direbobi da ɗakunan karatu masu ƙarfi (IDs na taron 6-7). Kula da lodin DLLs da direbobin na'ura zuwa ƙwaƙwalwar ajiya, duba sa hannun dijital da ingancin sa.
Ƙirƙiri zaren a cikin tsari mai gudana (ID 8). Wani nau'in harin wanda kuma ya kamata a sa ido.
RawAccessRead Events (Abubuwan da suka faru ID 9). Ayyukan karanta diski ta amfani da ".". A mafi yawancin lokuta, irin wannan aikin ya kamata a yi la'akari da shi mara kyau.
Ƙirƙiri rafin fayil mai suna (ID 15 na taron). Ana shigar da wani taron lokacin da aka ƙirƙiri rafin fayil mai suna wanda ke fitar da al'amura tare da hash na abubuwan da ke cikin fayil ɗin.
Ƙirƙirar bututu mai suna da haɗin kai (ID na taron 17-18). Bibiyar lambar mugunyar da ke sadarwa tare da sauran abubuwan haɗin gwiwa ta bututu mai suna.
Ayyukan WMI (ID 19 na taron). Rajista na abubuwan da aka haifar lokacin samun damar tsarin ta hanyar ka'idar WMI.
Don kare Sysmon kanta, kuna buƙatar saka idanu abubuwan da ke faruwa tare da ID 4 (Sysmon tsayawa da farawa) da ID 16 (canza yanayin daidaitawar Sysmon).
Wutar Shell Logs
Power Shell kayan aiki ne mai ƙarfi don sarrafa kayan aikin Windows, don haka dama suna da yawa cewa maharin zai zaɓi shi. Akwai hanyoyi guda biyu da za ku iya amfani da su don samun bayanan taron Power Shell: Windows PowerShell log da Microsoft-WindowsPowerShell/Log ɗin aiki.
Windows PowerShell log
An lodin mai bada bayanai (ID 600 taron taron). Masu samar da PowerShell shirye-shirye ne waɗanda ke ba da tushen bayanai don PowerShell don dubawa da sarrafawa. Misali, ginanniyar masu samarwa na iya zama masu canjin yanayi na Windows ko tsarin rajista. Dole ne a sa ido kan fitowar sabbin masu samar da kayayyaki don gano munanan ayyuka cikin lokaci. Misali, idan ka ga WSman yana bayyana a cikin masu samarwa, to an fara zaman PowerShell mai nisa.
Microsoft-WindowsPowerShell / log ɗin aiki (ko MicrosoftWindows-PowerShellCore / Mai aiki a cikin PowerShell 6)
Module shiga (ID na taron 4103). Abubuwan da ke faruwa suna adana bayanai game da kowane umarni da aka aiwatar da sigogin da aka kira shi da su.
Kashe rubutun rubutu (ID 4104). Katange rubutun rubutun yana nuna kowane toshe na lambar PowerShell da aka aiwatar. Ko da maharin ya yi ƙoƙarin ɓoye umarnin, wannan nau'in taron zai nuna umarnin PowerShell wanda a zahiri aka aiwatar. Wannan nau'in taron kuma na iya shiga wasu ƙananan kira na API da ake yi, waɗannan abubuwan galibi ana yin rikodin su azaman Verbose, amma idan ana amfani da umarni ko rubutun da ake tuhuma a cikin toshe lambar, za a shigar da shi azaman tsananin Gargaɗi.
Lura cewa da zarar an saita kayan aiki don tattarawa da kuma nazarin waɗannan abubuwan da suka faru, za a buƙaci ƙarin lokacin cirewa don rage adadin ƙima.
Faɗa mana a cikin sharhin abubuwan da kuke tattarawa don binciken tsaro na bayanai da irin kayan aikin da kuke amfani da su don wannan. Ɗaya daga cikin wuraren da muka fi mayar da hankali shine mafita don duba abubuwan tsaro na bayanai. Don magance matsalar tattarawa da nazarin kujeru, muna iya ba da shawarar yin nazari sosai , wanda zai iya damfara bayanan da aka adana tare da rabo na 20: 1, kuma misali ɗaya da aka shigar yana da ikon sarrafa abubuwa har zuwa 60000 a cikin dakika ɗaya daga tushe 10000.
source: www.habr.com