Tus neeg siv lub chaw ua haujlwm yog qhov yooj yim tshaj plaws ntawm cov txheej txheem hauv cov ntaub ntawv kev ruaj ntseg. Cov neeg siv yuav tau txais tsab ntawv rau lawv cov email ua haujlwm uas zoo li los ntawm qhov chaw nyab xeeb, tab sis nrog qhov txuas mus rau qhov chaw muaj kab mob. Tej zaum ib tug neeg yuav rub tawm cov khoom siv hluav taws xob muaj txiaj ntsig rau kev ua haujlwm los ntawm qhov chaw tsis paub. Yog lawm, koj tuaj yeem tuaj nrog ntau qhov xwm txheej ntawm yuav ua li cas malware tuaj yeem nkag mus rau hauv cov peev txheej hauv tuam txhab los ntawm cov neeg siv. Yog li ntawd, cov chaw ua haujlwm xav tau kev saib xyuas ntxiv, thiab hauv tsab xov xwm no peb yuav qhia koj qhov twg thiab dab tsi tshwm sim los saib xyuas kev tawm tsam.
Txhawm rau txheeb xyuas qhov kev tawm tsam thaum ntxov tshaj plaws, WIndows muaj peb qhov kev tshwm sim muaj txiaj ntsig: Cov Txheej Txheem Kev Ruaj Ntseg, Cov Txheej Txheem Saib Xyuas Log, thiab Lub Hwj Chim Plhaub Logs.
Kev Ruaj Ntseg Txheej Txheem Log
Qhov no yog qhov chaw khaws cia tseem ceeb rau kev ruaj ntseg cav. Qhov no suav nrog cov xwm txheej ntawm tus neeg siv nkag / tawm, nkag mus rau cov khoom, kev hloov pauv txoj cai, thiab lwm yam haujlwm ntsig txog kev ruaj ntseg. Tau kawg, yog tias txoj cai tsim nyog raug teeb tsa.
Kev suav ntawm cov neeg siv thiab pab pawg (cov xwm txheej 4798 thiab 4799). Thaum pib ntawm kev tawm tsam, malware feem ntau tshawb nrhiav los ntawm cov neeg siv nyiaj hauv zos thiab cov pab pawg hauv zos ntawm lub chaw ua haujlwm kom pom cov ntaub ntawv pov thawj rau nws qhov kev ua haujlwm tsis zoo. Cov xwm txheej no yuav pab txheeb xyuas cov kab mob phem ua ntej nws txav mus thiab, siv cov ntaub ntawv khaws tseg, kis mus rau lwm lub tshuab.
Tsim ib tus as khauj hauv zos thiab kev hloov pauv hauv cov pab pawg hauv zos (cov xwm txheej 4720, 4722β4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 thiab 5377). Qhov kev tawm tsam tuaj yeem pib, piv txwv li, los ntawm kev ntxiv tus neeg siv tshiab rau pawg thawj coj hauv zos.
Nkag mus sim nrog tus lej hauv zos (xws li 4624). Kev hwm cov neeg siv nkag rau hauv nrog tus lej sau npe, thiab txheeb xyuas tus ID nkag mus hauv tus as khauj hauv zos tuaj yeem txhais tau tias pib qhov kev tawm tsam. Kev tshwm sim 4624 kuj suav nrog kev nkag mus rau hauv tus lej sau npe, yog li thaum ua cov txheej xwm, koj yuav tsum lim tawm cov xwm txheej uas tus sau txawv ntawm lub npe chaw ua haujlwm.
Kev sim nkag rau hauv nrog tus lej teev npe (xws li 4648). Qhov no tshwm sim thaum cov txheej txheem khiav hauv "khiav li" hom. Qhov no yuav tsum tsis txhob tshwm sim thaum lub sijhawm ua haujlwm ntawm cov tshuab, yog li cov xwm txheej zoo li no yuav tsum tau tswj hwm.
Xauv / xauv lub chaw ua haujlwm (txheej xwm 4800-4803). Pawg ntawm cov xwm txheej tsis txaus ntseeg suav nrog txhua qhov kev ua uas tshwm sim ntawm lub chaw ua haujlwm kaw.
Firewall configuration hloov (cov xwm txheej 4944-4958). Pom tseeb, thaum txhim kho software tshiab, firewall configuration settings tej zaum yuav hloov, uas yuav ua rau muaj qhov tsis zoo. Feem ntau, tsis tas yuav tsum tswj cov kev hloov pauv no, tab sis nws yeej yuav tsis mob kom paub txog lawv.
Txuas Plug'n'play li (kev tshwm sim 6416 thiab tsuas yog rau Windows 10). Nws yog ib qho tseem ceeb kom saib xyuas qhov no yog tias cov neeg siv feem ntau tsis txuas cov cuab yeej tshiab rau lub chaw ua haujlwm, tab sis mam li nco dheev lawv ua.
Windows suav nrog 9 pawg tshawb xyuas thiab 50 pawg rau kev ua kom zoo. Yam tsawg kawg ntawm pawg subcategories uas yuav tsum tau enabled nyob rau hauv tej chaw:
Logon / Logoff
- Logon;
- Logoff;
- Account Lockout;
- Lwm yam Logon/Logoff Events.
account Management
- Kev Tswj Tus Neeg Siv Khoom;
- Pawg Tswj Xyuas Kev Ruaj Ntseg.
Txoj cai hloov
- Kev Hloov Txoj Cai Tswj Xyuas;
- Kev lees paub txoj cai hloov pauv;
- Kev Tso Cai Hloov Txoj Cai.
Qhov System Monitor (Sysmon)
Sysmon yog ib qho khoom siv tsim rau hauv Windows uas tuaj yeem sau cov xwm txheej hauv lub kaw lus. Feem ntau koj yuav tsum tau nruab nws nyias.
Cov xwm txheej zoo ib yam no tuaj yeem pom hauv lub hauv paus ntsiab lus ntawm kev ruaj ntseg (los ntawm kev ua kom txoj cai tshawb xyuas xav tau), tab sis Sysmon muab cov ncauj lus kom ntxaws ntxiv. Dab tsi tshwm sim tuaj yeem coj los ntawm Sysmon?
Cov txheej txheem tsim (kev tshwm sim ID 1). Lub kaw lus kev ruaj ntseg xwm txheej tseem tuaj yeem qhia koj thaum lub *.exe pib thiab txawm qhia nws lub npe thiab pib txoj kev. Tab sis tsis zoo li Sysmon, nws yuav tsis tuaj yeem qhia daim ntawv thov hash. Malicious software tej zaum yuav hu ua tsis muaj teeb meem notepad.exe, tab sis nws yog tus hash uas yuav coj nws mus rau lub teeb.
Kev Sib Txuas Network (Kev tshwm sim ID 3). Obviously, muaj ntau lub network sib txuas, thiab nws tsis yooj yim sua kom taug qab lawv txhua tus. Tab sis nws yog ib qho tseem ceeb uas yuav tsum xav txog tias Sysmon, tsis zoo li Kev Ruaj Ntseg Log, tuaj yeem khi lub network txuas rau ProcessID thiab ProcessGUID teb, thiab qhia qhov chaw nres nkoj thiab IP chaw nyob ntawm qhov chaw thiab qhov chaw.
Cov kev hloov pauv hauv kev sau npe (xws li ID 12-14). Txoj hauv kev yooj yim tshaj los ntxiv koj tus kheej rau autorun yog sau npe hauv cov npe. Kev ruaj ntseg Log tuaj yeem ua qhov no, tab sis Sysmon qhia tias leej twg tau hloov pauv, thaum twg, los ntawm qhov twg, txheej txheem ID thiab tus nqi tseem ceeb dhau los.
Kev tsim cov ntaub ntawv (kev tshwm sim ID 11). Sysmon, tsis zoo li Security Log, yuav qhia tsis tau tsuas yog qhov chaw ntawm cov ntaub ntawv, tab sis kuj nws lub npe. Nws yog qhov tseeb tias koj tsis tuaj yeem taug qab txhua yam, tab sis koj tuaj yeem tshawb xyuas qee cov npe.
Thiab tam sim no dab tsi tsis yog nyob rau hauv Security Log txoj cai, tab sis yog nyob rau hauv Sysmon:
Hloov lub sijhawm tsim cov ntaub ntawv (Qhov xwm txheej ID 2). Qee cov malware tuaj yeem spoof cov ntaub ntawv hnub tsim los zais nws los ntawm cov ntawv ceeb toom ntawm cov ntaub ntawv tsim tsis ntev los no.
Thauj cov tsav tsheb thiab cov tsev qiv ntawv dynamic (xws li IDs 6-7). Saib xyuas kev thauj khoom ntawm DLLs thiab cov tsav tsheb rau hauv lub cim xeeb, tshawb xyuas cov npe digital thiab nws qhov siv tau.
Tsim cov xov hauv cov txheej txheem khiav (kev tshwm sim ID 8). Ib hom kev tawm tsam uas tseem yuav tsum tau saib xyuas.
RawAccessRead Txheej xwm (Kev tshwm sim ID 9). Disk nyeem cov haujlwm siv ".". Nyob rau hauv feem ntau ntawm cov xwm txheej, xws li kev ua ub no yuav tsum raug xam tias yog txawv txav.
Tsim ib lub npe hu ua kwj dej (kev tshwm sim ID 15). Ib qho kev tshwm sim raug kaw thaum lub npe hu ua cov kwj dej tsim tawm uas tawm cov xwm txheej nrog lub hash ntawm cov ntaub ntawv cov ntsiab lus.
Tsim ib lub npe yeeb nkab thiab kev sib txuas (xws li ID 17-18). Taug qab cov kab lus phem uas sib txuas lus nrog lwm cov khoom los ntawm cov yeeb nkab muaj npe.
WMI kev ua (kev tshwm sim ID 19). Kev tso npe ntawm cov xwm txheej uas tau tsim thaum nkag mus rau lub kaw lus ntawm WMI raws tu qauv.
Txhawm rau tiv thaiv Sysmon nws tus kheej, koj yuav tsum tau saib xyuas cov xwm txheej nrog ID 4 (Sysmon nres thiab pib) thiab ID 16 (Sysmon configuration hloov).
Fais fab Plhaub Logs
Power Plhaub yog lub cuab yeej muaj zog rau kev tswj hwm Windows infrastructure, yog li muaj feem ntau uas tus neeg tawm tsam yuav xaiv nws. Muaj ob qhov chaw uas koj tuaj yeem siv tau kom tau txais cov ntaub ntawv pov thawj Power Shell: Windows PowerShell cav thiab Microsoft-WindowsPowerShell/Operational log.
Windows PowerShell log
Tus neeg muab ntaub ntawv thauj khoom (xws li ID 600). PowerShell cov chaw muab kev pabcuam yog cov kev pabcuam uas muab cov ntaub ntawv rau PowerShell saib thiab tswj. Piv txwv li, cov neeg muab kev pabcuam ua ke tuaj yeem yog Windows ib puag ncig hloov pauv lossis cov npe sau npe. Qhov tshwm sim ntawm cov neeg xa khoom tshiab yuav tsum tau raug saib xyuas kom thiaj li tshawb pom cov kev ua phem hauv lub sijhawm. Piv txwv li, yog tias koj pom WSMan tshwm sim ntawm cov chaw muab kev pabcuam, tom qab ntawd kev sib tham PowerShell tej thaj chaw deb tau pib.
Microsoft-WindowsPowerShell / Cov ntaub ntawv ua haujlwm (lossis MicrosoftWindows-PowerShellCore / Kev Ua Haujlwm hauv PowerShell 6)
Module logging (kev tshwm sim ID 4103). Cov xwm txheej khaws cov ntaub ntawv hais txog txhua qhov kev ua tiav thiab cov kev txwv uas nws tau hu ua.
Script blocking logging (xws li ID 4104). Script blocking logging qhia txhua qhov thaiv ntawm PowerShell code raug tua. Txawm hais tias tus neeg tawm tsam sim zais cov lus txib, hom kev tshwm sim no yuav qhia PowerShell cov lus txib uas tau ua tiav. Hom kev tshwm sim no tseem tuaj yeem sau qee qhov qis API hu ua, cov xwm txheej no feem ntau raug kaw raws li Verbose, tab sis yog tias qhov lus txib tsis txaus ntseeg lossis tsab ntawv raug siv nyob rau hauv ib qho thaiv code, nws yuav raug kaw raws li Kev Ceeb Toom hnyav.
Thov nco ntsoov tias thaum lub cuab yeej tau teeb tsa los sau thiab txheeb xyuas cov xwm txheej no, lub sijhawm ntxiv kev debugging yuav tsum tau txo qis tus lej ntawm qhov tsis zoo.
Qhia rau peb hauv cov lus hais tias koj sau cov ntawv teev lus dab tsi rau kev txheeb xyuas cov ntaub ntawv kev nyab xeeb thiab cov cuab yeej twg koj siv rau qhov no. Ib qho ntawm peb qhov kev tsom xam yog cov kev daws teeb meem rau kev soj ntsuam cov ntaub ntawv kev ruaj ntseg xwm txheej. Txhawm rau daws qhov teeb meem ntawm kev sau thiab txheeb xyuas cov cav, peb tuaj yeem hais kom ua tib zoo saib , uas tuaj yeem nthuav cov ntaub ntawv khaws cia nrog qhov sib piv ntawm 20: 1, thiab ib qho piv txwv ntawm nws muaj peev xwm ua tiav txog 60000 txheej xwm ib ob los ntawm 10000 qhov chaw.
Tau qhov twg los: www.hab.com