An sanar da sakin sigar 12 na Sysmon a ranar 17 ga Satumba a . A haƙiƙa, an fitar da sabbin nau'ikan Kula da Tsari da ProcDump a wannan rana. A cikin wannan labarin, zan yi magana game da mabuɗin da rikice-rikice na sigar 12 na Sysmon - nau'in abubuwan da suka faru tare da ID na Event 24, wanda aka shigar da aikin tare da allo.
Bayanai daga wannan nau'in taron yana buɗe sabbin dama don sa ido kan ayyukan da ake tuhuma (da kuma sabbin lahani). Don haka, zaku iya fahimtar wanene, a ina kuma menene ainihin ƙoƙarin kwafi. Ƙarƙashin yanke shine bayanin wasu filayen sabon taron da wasu lokuta na amfani.
Sabuwar taron ya ƙunshi fage masu zuwa:
Hotuna: tsarin da aka rubuta bayanai zuwa allo.
Zama: zaman da aka rubuta allo. Zai iya zama tsarin (0)
lokacin aiki akan layi ko nesa, da sauransu.
Bayanin abokin ciniki: ya ƙunshi sunan mai amfani na zaman kuma, a cikin yanayin zaman nesa, asalin sunan mai masauki da adireshin IP, idan akwai.
Hashes: yana ƙayyade sunan fayil ɗin da aka kwafi rubutun a ciki (mai kama da aiki tare da abubuwan da suka faru na nau'in FileDelete).
Ajiye: hali, ko an ajiye rubutun daga allo a cikin kundin tarihin tarihin Sysmon.
Filaye biyu na ƙarshe suna da ban tsoro. Gaskiyar ita ce, tun da sigar 11 Sysmon na iya (tare da saitunan da suka dace) adana bayanai daban-daban zuwa kundin tarihin ta. Misali, ID na Event ID 23 yana yin rajistar abubuwan da suka faru na share fayil kuma yana iya ajiye su duka a cikin kundin adireshi iri ɗaya. Ana ƙara alamar CLIP zuwa sunan fayilolin da aka ƙirƙira sakamakon aiki tare da allo. Fayilolin da kansu sun ƙunshi ainihin bayanan da aka kwafi zuwa allo.
Wannan shine yadda fayil ɗin da aka ajiye yayi kama
Ana kunna adanawa zuwa fayil yayin shigarwa. Za ka iya saita farar jerin matakai na matakai waɗanda ba za a adana rubutu don su ba.
Wannan shine yadda shigarwar Sysmon yayi kama da saitunan kundin adireshi masu dacewa:
Anan, ina tsammanin, yana da daraja tunawa da masu sarrafa kalmar sirri waɗanda kuma suke amfani da allo. Samun Sysmon akan tsarin tare da mai sarrafa kalmar sirri zai ba ku damar (ko mai kai hari) don kama waɗannan kalmomin shiga. Da ɗauka cewa kun san wane tsari ne ke rarraba rubutun da aka kwafi (kuma wannan ba koyaushe ba ne tsarin sarrafa kalmar sirri ba, amma wataƙila wasu svchost), wannan banda za a iya ƙara shi cikin jerin farin kuma ba a adana shi ba.
Wataƙila ba za ku sani ba, amma sabar mai nisa tana ɗaukar rubutu daga allon allo lokacin da kuka canza shi a yanayin zaman RDP. Idan kuna da wani abu a allon allo kuma kun canza tsakanin zaman RDP, wannan bayanin zai yi tafiya tare da ku.
Bari mu taƙaita iyawar Sysmon don aiki tare da allo.
Kafaffen:
- Kwafin rubutu na rubutun da aka liƙa ta hanyar RDP da cikin gida;
- Ɗaukar bayanai daga allon allo ta hanyar kayan aiki/tsari daban-daban;
- Kwafi/manna rubutu daga/zuwa injin kama-da-wane na gida, ko da har yanzu ba a liƙa wannan rubutun ba.
Ba a rubuta ba:
- Kwafi / liƙa fayiloli daga / zuwa na'ura mai kama da gida;
- Kwafi / liƙa fayiloli ta hanyar RDP
- Malware wanda ke sace allo na allo kawai yana rubutawa kan allo.
Duk da rashin fahimta, irin wannan nau'in taron zai ba ku damar mayar da algorithm na ayyukan maharin da kuma taimakawa wajen gano bayanan da ba a iya samu a baya don samuwar mutuwar bayan harin. Idan har yanzu ana kunna rubuta abun ciki zuwa faifan allo, yana da mahimmanci a yi rikodin kowane damar shiga cikin kundin adana bayanai da gano masu haɗari (ba sysmon.exe ya fara ba).
Don yin rikodi, bincika da kuma mayar da martani ga abubuwan da aka lissafa a sama, zaku iya amfani da kayan aiki , wanda ya haɗu da dukkan hanyoyi guda uku kuma, ƙari, shine ingantaccen ma'ajiya mai mahimmanci na duk bayanan da aka tattara. Za mu iya saita haɗin kai tare da shahararrun tsarin SIEM don rage farashin lasisin su ta hanyar canja wurin sarrafawa da adana danyen bayanai zuwa InTrust.
Don ƙarin koyo game da InTrust, karanta labaran mu na baya ko .
(Shahararren labari)
source: www.habr.com
