Estasyon travay itilizatè a se pwen ki pi vilnerab nan enfrastrikti a an tèm de sekirite enfòmasyon. Itilizatè yo ka resevwa yon lèt nan imel travay yo ki sanble soti nan yon sous ki an sekirite, men ki gen yon lyen ki mennen nan yon sit ki enfekte. Petèt yon moun pral telechaje yon sèvis piblik itil pou travay nan yon kote enkoni. Wi, ou ka vini ak plizyè douzèn ka ki jan malveyan ka enfiltre resous entèn antrepriz atravè itilizatè yo. Se poutèt sa, estasyon travay yo mande pou ogmante atansyon, ak nan atik sa a nou pral di w ki kote ak ki evènman yo pran pou kontwole atak yo.
Pou detekte yon atak nan etap ki pi bonè posib, WIndows gen twa sous evènman itil: Sekirite Evènman Log, Sistèm Siveyans Log, ak Power Shell Logs.
Log Evènman Sekirite
Sa a se kote depo prensipal la pou mòso bwa sekirite sistèm. Sa a gen ladan evènman itilizatè konekte/dekonekte, aksè a objè, chanjman politik ak lòt aktivite ki gen rapò ak sekirite. Natirèlman, si se politik ki apwopriye a configuré.
Rezime itilizatè yo ak gwoup (evènman 4798 ak 4799). Nan kòmansman yon atak, malveyan souvan fè rechèch nan kont itilizatè lokal yo ak gwoup lokal yo sou yon estasyon travay pou jwenn kalifikasyon pou tranzaksyon lonbraj li yo. Evènman sa yo pral ede detekte kòd move anvan li deplase epi, lè l sèvi avèk done yo kolekte, gaye nan lòt sistèm.
Kreyasyon yon kont lokal ak chanjman nan gwoup lokal yo (evènman 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 ak 5377). Atak la ka kòmanse tou, pou egzanp, lè w ajoute yon nouvo itilizatè nan gwoup administratè lokal yo.
Eseye konekte ak yon kont lokal (evènman 4624). Itilizatè respektab konekte ak yon kont domèn, epi idantifye yon login anba yon kont lokal ka vle di kòmansman yon atak. Evènman 4624 gen ladan tou koneksyon anba yon kont domèn, kidonk lè w ap trete evènman, ou bezwen filtre evènman kote domèn nan diferan de non estasyon travay la.
Yon tantativ pou konekte ak kont espesifye a (evènman 4648). Sa rive lè pwosesis la ap kouri nan mòd "kouri kòm". Sa a pa ta dwe rive pandan operasyon nòmal nan sistèm, kidonk evènman sa yo dwe kontwole.
Bloke/debloke estasyon travay la (evènman 4800-4803). Kategori evènman sispèk yo enkli nenpòt aksyon ki te fèt sou yon estasyon travay fèmen.
Chanjman konfigirasyon firewall (evènman 4944-4958). Li evidan, lè w ap enstale nouvo lojisyèl, paramèt konfigirasyon firewall yo ka chanje, sa ki pral lakòz fo pozitif. Nan pifò ka yo, pa gen okenn bezwen kontwole chanjman sa yo, men li definitivman pa pral fè mal konnen sou yo.
Konekte aparèy Plug'n'play (evènman 6416 epi sèlman pou Windows 10). Li enpòtan pou kenbe yon je sou sa a si itilizatè anjeneral pa konekte nouvo aparèy nan estasyon travay la, men Lè sa a, toudenkou yo fè.
Windows gen ladan 9 kategori odit ak 50 sou-kategori pou ajisteman. Seri minimòm sou-kategori ki ta dwe aktive nan paramèt yo:
Logon / Logoff
- Konekte;
- Dekonekte;
- Lockout kont;
- Lòt Evènman Konekte/Dekonekte.
Jesyon Kont
- Jesyon kont itilizatè;
- Jesyon Gwoup Sekirite.
Règleman Chanjman
- Chanjman Règleman Odit;
- Chanjman Règleman Otantifikasyon;
- Chanjman Règleman Otorizasyon.
Siveyans sistèm (Sysmon)
Sysmon se yon sèvis piblik ki bati nan Windows ki ka anrejistre evènman yo nan boutèy demi lit sistèm lan. Anjeneral ou bezwen enstale li separeman.
Menm evènman sa yo ka, nan prensip, ka jwenn nan boutèy la sekirite (pa pèmèt politik la odit vle), men Sysmon bay plis detay. Ki evènman yo ka pran nan Sysmon?
Kreyasyon pwosesis (ID evènman 1). Jounal evènman sekirite sistèm lan kapab tou di w lè yon *.exe te lanse e menm montre non li ak chemen lansman. Men, kontrèman ak Sysmon, li pa pral kapab montre hash aplikasyon an. Lojisyèl move yo ka menm rele notepad.exe inonsan, men li se hash la ki pral pote li nan limyè.
Koneksyon rezo (Evènman ID 3). Li evidan, gen yon anpil nan koneksyon rezo, epi li enposib kenbe tras nan yo tout. Men, li enpòtan pou konsidere ke Sysmon, kontrèman ak Security Log, ka mare yon koneksyon rezo ak jaden ProcessID ak ProcessGUID, epi li montre pò a ak adrès IP sous la ak destinasyon.
Chanjman nan rejis sistèm lan (ID evènman 12-14). Fason ki pi fasil pou ajoute tèt ou nan otorun se enskri nan rejis la. Sekirite Log ka fè sa, men Sysmon montre ki moun ki fè chanjman yo, ki lè, ki kote, pwosesis ID ak valè kle anvan an.
Kreyasyon dosye (ID evènman 11). Sysmon, kontrèman ak Security Log, pral montre non sèlman kote dosye a, men tou, non li. Li klè ke ou pa ka kenbe tras nan tout bagay, men ou ka odit sèten anyè.
Epi kounye a, sa ki pa nan règleman sekirite Log, men ki nan Sysmon:
Chanjman nan tan kreyasyon fichye (ID evènman 2). Gen kèk malveyan ki ka twonpe dat kreyasyon yon dosye pou kache li nan rapò sou dosye ki fèk kreye yo.
Chaje chofè ak bibliyotèk dinamik (ID evènman 6-7). Siveyans chaje DLL ak chofè aparèy nan memwa, tcheke siyati dijital la ak validite li.
Kreye yon fil nan yon pwosesis kouri (evènman ID 8). Yon kalite atak ki tou bezwen kontwole.
RawAccessRead Evènman (Evènman ID 9). Operasyon lekti disk lè l sèvi avèk ".". Nan vas majorite nan ka yo, aktivite sa yo ta dwe konsidere kòm nòmal.
Kreye yon kouran dosye yo nonmen (ID evènman 15). Yo anrejistre yon evènman lè yo kreye yon kouran fichye ki nonmen ki emèt evènman ak yon hash nan sa ki nan fichye a.
Kreye yon tiyo nonmen ak koneksyon (ID evènman 17-18). Swiv move kòd ki kominike ak lòt konpozan atravè tiyo a nonmen.
Aktivite WMI (ID evènman 19). Anrejistreman nan evènman ki pwodui lè w gen aksè nan sistèm nan atravè pwotokòl WMI.
Pou pwoteje Sysmon tèt li, ou bezwen kontwole evènman ak ID 4 (Sysmon kanpe ak kòmanse) ak ID 16 (chanjman konfigirasyon Sysmon).
Pouvwa Shell Logs
Power Shell se yon zouti pwisan pou jere enfrastrikti Windows, kidonk gen anpil chans pou yon atakè chwazi li. Gen de sous ou ka itilize pou jwenn done evènman Power Shell: Windows PowerShell journal ak Microsoft-WindowsPowerShell/Operational log.
Jounal Windows PowerShell
Founisè done chaje (ID evènman 600). Founisè PowerShell yo se pwogram ki bay yon sous done pou PowerShell wè ak jere. Pou egzanp, founisè entegre yo ta ka varyab anviwònman Windows oswa rejis sistèm lan. Aparisyon nouvo founisè yo dwe kontwole yo nan lòd yo detekte aktivite move nan tan. Pou egzanp, si w wè WSMan parèt nan mitan founisè yo, Lè sa a, yon sesyon PowerShell aleka te kòmanse.
Microsoft-WindowsPowerShell / Log Operasyon (oswa MicrosoftWindows-PowerShellCore / Operasyonèl nan PowerShell 6)
Anrejistre modil (ID evènman 4103). Evènman yo estoke enfòmasyon sou chak lòd egzekite ak paramèt yo te rele yo.
Script bloke antre (evènman ID 4104). Logging bloke Script montre chak blòk nan kòd PowerShell egzekite. Menm si yon atakè ap eseye kache kòmandman an, kalite evènman sa a pral montre kòmandman PowerShell ki aktyèlman egzekite. Kalite evènman sa a kapab tou konekte kèk apèl API ba nivo yo te fè, evènman sa yo anjeneral anrejistre kòm Verbose, men si yo itilize yon kòmandman sispèk oswa script nan yon blòk nan kòd, li pral konekte kòm yon severite Avètisman.
Tanpri sonje ke yon fwa zouti a konfigirasyon pou kolekte epi analize evènman sa yo, yo pral mande plis tan debogaj pou diminye kantite fo pozitif.
Di nou nan kòmantè yo ki mòso bwa ou kolekte pou odit sekirite enfòmasyon ak ki zouti ou itilize pou sa. Youn nan domèn konsantre nou yo se solisyon pou odit evènman sekirite enfòmasyon yo. Pou rezoud pwoblèm nan kolekte ak analize mòso bwa, nou ka sijere pran yon gade pi pre , ki ka konprese done ki estoke ak yon rapò 20:1, ak yon egzanp enstale nan li kapab trete jiska 60000 evènman pou chak segonn soti nan 10000 sous.
Sous: www.habr.com