ʻO ka hale hana mea hoʻohana ka wahi nāwaliwali loa o ka ʻōnaehana ma ke ʻano o ka palekana ʻike. Hiki i nā mea hoʻohana ke loaʻa i kahi leka i kā lākou leka uila hana i ʻike ʻia mai kahi kumu palekana, akā me kahi loulou i kahi pūnaewele maʻi. E hoʻoiho paha kekahi i kahi pono no ka hana mai kahi ʻike ʻole ʻia. ʻAe, hiki iā ʻoe ke piʻi mai me ka nui o nā hihia pehea e hiki ai i ka malware ke komo i nā kumuwaiwai kūloko ma o nā mea hoʻohana. No laila, pono e hoʻonui ka nānā ʻana i nā hale hana, a ma kēia ʻatikala mākou e haʻi iā ʻoe i hea a me nā hanana e hana ai e nānā i nā hoʻouka ʻana.
No ka ʻike ʻana i kahi hoʻouka kaua ma ka pae mua loa, loaʻa iā WIndows ʻekolu mau kumu hanana kūpono: ka Security Event Log, ka System Monitoring Log, a me ka Power Shell Logs.
Mooolelo Hana Palekana
ʻO kēia ka wahi mālama nui no nā lāʻau palekana ʻōnaehana. Hoʻopili kēia i nā hanana o ka mea hoʻohana komo / logout, komo i nā mea, nā hoʻololi kulekele a me nā hana e pili ana i ka palekana. ʻOiaʻiʻo, inā hoʻonohonoho ʻia ke kulekele kūpono.
Ka helu o nā mea hoʻohana a me nā hui (nā hanana 4798 a me 4799). I ka hoʻomaka ʻana o kahi hoʻouka kaua, ʻimi pinepine ʻo malware i nā moʻokāki mea hoʻohana kūloko a me nā hui kūloko ma kahi hale hana e ʻike i nā hōʻoia no kāna mau hana malu. E kōkua kēia mau hanana i ka ʻike ʻana i nā code malicious ma mua o ka neʻe ʻana a, me ka hoʻohana ʻana i ka ʻikepili i hōʻiliʻili ʻia, hoʻolaha i nā ʻōnaehana ʻē aʻe.
Ka hana ʻana i kahi moʻokāki kūloko a me nā loli i nā hui kūloko (nā hanana 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 a me 5377). Hiki ke hoʻomaka ka hoʻouka ʻana, no ka laʻana, ma ka hoʻohui ʻana i kahi mea hoʻohana hou i ka hui luna hoʻomalu kūloko.
E hoʻāʻo e komo me kahi moʻokāki kūloko (hanana 4624). Hiki i nā mea hoʻohana hanohano ke komo me kahi moʻokāki domain, a ʻo ka ʻike ʻana i kahi komo ʻana ma lalo o kahi moʻokāki kūloko ke ʻano o ka hoʻomaka ʻana o kahi hoʻouka kaua. Hoʻokomo pū ʻia ka hanana 4624 i nā loina ma lalo o kahi moʻokāki domain, no laila i ka wā e hoʻoponopono ai i nā hanana, pono ʻoe e kānana i nā hanana kahi i ʻokoʻa ai ke kikowaena mai ka inoa hana.
ʻO kahi hoʻāʻo e komo me ka moʻokāki i kuhikuhi ʻia (event 4648). Hana kēia i ka wā e holo ana ke kaʻina hana ma ke ʻano "run as". ʻAʻole pono kēia i ka wā o ka hana maʻamau o nā ʻōnaehana, no laila pono e mālama ʻia ia mau hanana.
Laka/wehe ʻana i ke kahua hana (nā hanana 4800-4803). Aia i loko o ka māhele o nā hanana kānalua kekahi hana i hana ʻia ma kahi hale hana i laka ʻia.
Hoʻololi ka hoʻonohonoho pā ahi (nā hanana 4944-4958). ʻIke loa, i ka wā e hoʻokomo ai i nā polokalamu hou, hiki ke hoʻololi i nā hoʻonohonoho hoʻonohonoho pā ahi, kahi e hoʻopiʻi ai i nā hopena maikaʻi ʻole. I ka hapanui o nā hihia, ʻaʻohe pono e hoʻomalu i ia mau loli, akā ʻaʻole ia e ʻeha ke ʻike e pili ana iā lākou.
Hoʻohui i nā polokalamu Plug'n'play (event 6416 a no WIndows 10 wale nō). He mea koʻikoʻi ka nānā ʻana i kēia inā ʻaʻole maʻamau nā mea hoʻohana e hoʻopili i nā mea hou i ke kahua hana, akā hana koke lākou.
Loaʻa i ka Windows he 9 mau ʻāpana loiloi a me 50 mau ʻāpana no ka hoʻoponopono maikaʻi ʻana. ʻO ka hoʻonohonoho haʻahaʻa o nā subcategories i hiki ke hoʻohana ʻia i nā hoʻonohonoho:
Logon / Mokoff
- Loko;
- Logope;
- Laka mooolelo;
- Nā hanana Logon/Logoff ʻē aʻe.
Manaʻo Pūnaewele
- Hoʻokele moʻokāki mea hoʻohana;
- Hooponopono Puulu Palekana.
Hoʻololi Kulekele
- Hoʻololi Kulekele Hoʻoponopono;
- Hoʻololi Kulekele Hōʻoia;
- Hoʻololi Kulekele Manaʻo.
Nānā Pūnaewele (Sysmon)
ʻO Sysmon kahi mea pono i kūkulu ʻia i loko o Windows e hiki ke hoʻopaʻa i nā hanana i ka log system. Pono ʻoe e hoʻokomo kaʻawale.
Hiki ke loaʻa kēia mau hanana like, ma ke kumu, i loko o ka moʻolelo palekana (ma ka ʻae ʻana i ke kulekele loiloi makemake), akā hāʻawi ʻo Sysmon i nā kikoʻī hou aku. He aha nā hanana e hiki ke lawe ʻia mai Sysmon?
Kaʻina hana (ID hanana 1). Hiki ke haʻi aku iā ʻoe i ka wā i hoʻomaka ai kahi *.exe a hōʻike i kona inoa a me ke ala hoʻomaka. Akā ʻaʻole like me Sysmon, ʻaʻole hiki iā ia ke hōʻike i ka hash noi. Hiki ke kapa ʻia nā polokalamu ʻino ʻole notepad.exe, akā ʻo ka hash ka mea e hoʻomālamalama.
Nā Hoʻohui Pūnaewele (Event ID 3). ʻIke loa, he nui nā pili pūnaewele, a ʻaʻole hiki ke mālama iā lākou āpau. Akā, he mea nui e noʻonoʻo ʻo Sysmon, ʻaʻole like me Security Log, hiki ke hoʻopaʻa i kahi pilina pūnaewele i nā kahua ProcessID a me ProcessGUID, a hōʻike i ke awa a me nā helu IP o ke kumu a me kahi e hele ai.
Hoʻololi i ka papa inoa ʻōnaehana (ID hanana 12-14). ʻO ke ala maʻalahi e hoʻohui iā ʻoe iho i autorun ʻo ke kākau inoa ʻana ma ka papa inoa. Hiki i ka Log Security ke hana i kēia, akā hōʻike ʻo Sysmon i ka mea nāna i hoʻololi, i ka manawa, mai hea, ka hana ID a me ka waiwai kī mua.
Hana ʻia nā faila (ID hanana 11). ʻO Sysmon, ʻaʻole like me ka Security Log, e hōʻike ʻaʻole wale i kahi o ka faila, akā ʻo kona inoa pū kekahi. Ua maopopo ʻaʻole hiki iā ʻoe ke mālama i nā mea āpau, akā hiki iā ʻoe ke loiloi i kekahi mau papa kuhikuhi.
A i kēia manawa ʻaʻole i loko o nā kulekele Security Log, akā aia ma Sysmon:
Hoʻololi i ka manawa hana faila (Event ID 2). Hiki i kekahi polokalamu ke hoʻopunipuni i ka lā hana o kahi faila e hūnā iā ia mai nā hōʻike o nā faila i hana hou ʻia.
Ke hoʻouka nei i nā mea hoʻokele a me nā hale waihona puke ikaika (nā hanana hanana 6-7). Ka nānā ʻana i ka hoʻouka ʻana o nā DLL a me nā mea hoʻokele i ka hoʻomanaʻo, e nānā ana i ka pūlima kikohoʻe a me kona kūpono.
E hana i kahi pae ma ke kaʻina hana (event ID 8). ʻO kekahi ʻano o ka hoʻouka ʻana e pono ke nānā ʻia.
Nā hanana RawAccessRead (Event ID 9). Nā hana heluhelu disk me ka ".". I ka nui o nā hihia, pono e noʻonoʻo ʻia kēlā hana he mea ʻole.
E hana i kahi kahawai file i kapa ʻia (event ID 15). Hoʻopaʻa ʻia kahi hanana i ka wā i hana ʻia ai kahi kahawai file i kapa ʻia e hoʻopuka i nā hanana me kahi hash o nā mea o ka faila.
Ke hana ʻana i kahi paipu inoa a me ka pilina (ID hanana 17-18). Ka hahai ʻana i nā code ʻino e kamaʻilio pū me nā ʻāpana ʻē aʻe ma o ka paipu i kapa ʻia.
Hana WMI (ID hanana 19). Hoʻopaʻa inoa i nā hanana i hana ʻia i ke komo ʻana i ka ʻōnaehana ma o ka protocol WMI.
No ka pale ʻana iā Sysmon ponoʻī, pono ʻoe e nānā i nā hanana me ka ID 4 (Sysmon kū a hoʻomaka) a me ID 16 (Sysmon hoʻololi hoʻololi).
Puka Puhi Mana
He mea hana ikaika ʻo Power Shell no ka hoʻokele ʻana i nā ʻōnaehana Windows, no laila ke kiʻekiʻe ka manawa e koho ai ka mea hoʻouka. ʻElua kumu hiki iā ʻoe ke hoʻohana no ka loaʻa ʻana o ka ʻikepili hanana Power Shell: Windows PowerShell log a me Microsoft-WindowsPowerShell/Operational log.
Log Windows PowerShell
Hoʻouka ʻia ka mea hāʻawi ʻikepili (ID hanana 600). ʻO nā mea hāʻawi PowerShell nā papahana e hāʻawi i kahi kumu o ka ʻikepili no PowerShell e nānā a mālama. No ka laʻana, hiki i nā mea hoʻolako i kūkulu ʻia ke ʻano hoʻololi kaiapuni Windows a i ʻole ka papa inoa ʻōnaehana. Pono e nānā ʻia ka puka ʻana mai o nā mea hoʻolako hou i mea e ʻike ai i ka hana ʻino i ka manawa. No ka laʻana, inā ʻike ʻoe iā WSMan e kū mai ana i waena o nā mea hoʻolako, a laila ua hoʻomaka kahi kau PowerShell mamao.
Microsoft-WindowsPowerShell / Loko hana (a i ʻole MicrosoftWindows-PowerShellCore / Hana ma PowerShell 6)
Ka hoʻopaʻa ʻana o ka module (ID hanana 4103). Mālama nā hanana i ka ʻike e pili ana i kēlā me kēia kauoha i hoʻokō ʻia a me nā ʻāpana i kapa ʻia ai.
Hoʻopaʻa paʻa palapala (ID hanana 4104). Hōʻike ka logging blocking logging i kēlā me kēia poloka o PowerShell code i hoʻokō ʻia. ʻOiai inā e hoʻāʻo ka mea hoʻouka e hūnā i ke kauoha, e hōʻike ana kēia ʻano hanana i ke kauoha PowerShell i hoʻokō maoli ʻia. Hiki i kēia ʻano hanana ke hoʻopaʻa inoa i kekahi mau kelepona API haʻahaʻa e hana ʻia ana, e hoʻopaʻa mau ʻia kēia mau hanana ma ke ʻano he Verbose, akā inā hoʻohana ʻia kahi kauoha kānalua a i ʻole palapala i loko o kahi poloka o ke code, e hoʻopaʻa ʻia ʻo ia ma ke ʻano he ʻōlelo hōʻeuʻeu.
E ʻoluʻolu e hoʻomaopopo i ka manawa i hoʻonohonoho ʻia ai ka mea hana e hōʻiliʻili a nānā i kēia mau hanana, e koi ʻia ka manawa debugging hou e hōʻemi i ka helu o nā hopena maikaʻi ʻole.
E haʻi mai iā mākou i loko o nā manaʻo he aha nā lāʻau āu e hōʻiliʻili ai no ka loiloi palekana ʻike a me nā mea hana āu e hoʻohana ai no kēia. ʻO kekahi o kā mākou wahi e nānā ai, ʻo ia nā hoʻonā no ka loiloi ʻana i nā hanana palekana ʻike. No ka hoʻoponopono ʻana i ka pilikia o ka ʻohi ʻana a me ka nānā ʻana i nā lāʻau, hiki iā mākou ke manaʻo e nānā pono , hiki ke hoʻopaʻa i ka ʻikepili i mālama ʻia me ka ratio o 20:1, a hiki i kahi mea hoʻonohonoho i hoʻonohonoho ʻia e hiki ke hana i nā hanana 60000 i kēlā me kēia kekona mai 10000 kumu.
Source: www.habr.com