Օգտագործողի աշխատանքային կայանը ենթակառուցվածքի ամենախոցելի կետն է տեղեկատվական անվտանգության առումով։ Օգտատերերը կարող են նամակ ստանալ իրենց աշխատանքային էլ.փոստին, որը, թվում է, անվտանգ աղբյուրից է, բայց վարակված կայքի հղումով: Միգուցե ինչ-որ մեկը անհայտ վայրից ներբեռնի աշխատանքի համար օգտակար ծրագիր: Այո, դուք կարող եք գտնել տասնյակ դեպքեր, թե ինչպես չարամիտ ծրագրերը կարող են ներթափանցել կորպորատիվ ներքին ռեսուրսներ օգտվողների միջոցով: Հետևաբար, աշխատանքային կայանները մեծ ուշադրություն են պահանջում, և այս հոդվածում մենք ձեզ կպատմենք, թե որտեղ և ինչ միջոցառումներ ձեռնարկել հարձակումները վերահսկելու համար:
Հարձակումը հնարավորինս վաղ փուլում հայտնաբերելու համար WIndows-ն ունի իրադարձությունների երեք օգտակար աղբյուր՝ Անվտանգության իրադարձությունների մատյան, Համակարգի մոնիտորինգի մատյան և Power Shell մատյաններ:
Անվտանգության իրադարձությունների մատյան
Սա համակարգի անվտանգության մատյանների պահպանման հիմնական տեղն է: Սա ներառում է օգտատերերի մուտքի/դուրս գալու իրադարձություններ, օբյեկտների հասանելիություն, քաղաքականության փոփոխություններ և անվտանգության հետ կապված այլ գործողություններ: Իհարկե, եթե համապատասխան քաղաքականությունը կազմաձևված է:
Օգտատերերի և խմբերի թվարկում (միջոցառումներ 4798 և 4799): Հարձակման հենց սկզբում չարամիտ ծրագիրը հաճախ որոնում է տեղական օգտատերերի հաշիվների և աշխատանքային կայանի տեղական խմբերի միջոցով՝ գտնելու հավատարմագրերը իր ստվերային գործարքների համար: Այս իրադարձությունները կօգնեն հայտնաբերել վնասակար ծածկագիրը՝ նախքան այն անցնելը և, օգտագործելով հավաքագրված տվյալները, տարածվել այլ համակարգերում:
Տեղական հաշվի ստեղծում և փոփոխություններ տեղական խմբերում (իրադարձություններ 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 և 5377): Հարձակումը կարող է սկսվել նաև, օրինակ, տեղական ադմինիստրատորների խմբին նոր օգտվող ավելացնելով:
Մուտքի փորձեր տեղական հաշվի միջոցով (իրադարձություն 4624): Հարգելի օգտատերերը մուտք են գործում տիրույթի հաշվի միջոցով, և տեղական հաշվի տակ մուտքի նույնականացումը կարող է նշանակել հարձակման սկիզբ: Իրադարձություն 4624-ը ներառում է նաև մուտքեր տիրույթի հաշվի տակ, ուստի իրադարձությունները մշակելիս պետք է զտել իրադարձությունները, որտեղ տիրույթը տարբերվում է աշխատակայանի անունից:
Նշված հաշվի միջոցով մուտք գործելու փորձ (իրադարձություն 4648): Դա տեղի է ունենում, երբ գործընթացն աշխատում է «վազել որպես» ռեժիմով: Դա չպետք է տեղի ունենա համակարգերի նորմալ շահագործման ժամանակ, ուստի նման իրադարձությունները պետք է վերահսկվեն:
Աշխատանքային կայանի կողպում/բացում (իրադարձություններ 4800-4803): Կասկածելի իրադարձությունների կատեգորիան ներառում է ցանկացած գործողություն, որը տեղի է ունեցել կողպված աշխատակայանում:
Firewall-ի կազմաձևման փոփոխություններ (իրադարձություններ 4944-4958): Ակնհայտ է, որ նոր ծրագրակազմ տեղադրելիս, firewall-ի կազմաձևման կարգավորումները կարող են փոխվել, ինչը կհանգեցնի կեղծ դրական արդյունքների: Շատ դեպքերում նման փոփոխությունները վերահսկելու կարիք չկա, բայց դրանց մասին իմանալը հաստատ չի խանգարի:
Plug'n'play սարքերի միացում (իրադարձություն 6416 և միայն Windows 10-ի համար): Կարևոր է հետևել դրան, եթե օգտատերերը սովորաբար նոր սարքեր չեն միացնում աշխատանքային կայանին, բայց հետո հանկարծ միացնում են:
Windows-ը ներառում է 9 աուդիտի կատեգորիա և 50 ենթակատեգորիա՝ ճշգրտման համար: Ենթակատեգորիաների նվազագույն փաթեթը, որը պետք է միացված լինի կարգավորումներում.
Մուտք/ելք
- Մուտք գործել;
- Դուրս գալ;
- Հաշվի արգելափակում;
- Այլ Մուտք/Ելք Իրադարձություններ:
Հաշվի կառավարում
- Օգտագործողի հաշվի կառավարում;
- Անվտանգության խմբի կառավարում.
Քաղաքականության փոփոխություն
- Աուդիտի քաղաքականության փոփոխություն;
- Նույնականացման քաղաքականության փոփոխություն;
- Թույլտվության քաղաքականության փոփոխություն:
Համակարգի մոնիտոր (Sysmon)
Sysmon-ը Windows-ում ներկառուցված կոմունալ ծրագիր է, որը կարող է գրանցել իրադարձությունները համակարգի գրանցամատյանում: Սովորաբար անհրաժեշտ է տեղադրել այն առանձին:
Այս նույն իրադարձությունները, սկզբունքորեն, կարելի է գտնել անվտանգության գրանցամատյանում (միացնելով ցանկալի աուդիտի քաղաքականությունը), սակայն Sysmon-ն ավելի մանրամասն է տալիս: Ի՞նչ իրադարձություններ կարելի է վերցնել Sysmon-ից:
Գործընթացի ստեղծում (իրադարձության ID 1): Համակարգի անվտանգության իրադարձությունների գրանցամատյանը կարող է նաև ձեզ տեղեկացնել, թե երբ է գործարկվել *.exe-ը և նույնիսկ ցույց տալ դրա անունը և գործարկման ուղին: Բայց ի տարբերություն Sysmon-ի, այն չի կարողանա ցուցադրել հավելվածի հեշը։ Վնասակար ծրագրակազմը նույնիսկ կարող է կոչվել անվնաս notepad.exe, բայց հենց այն հեշն է, որը կբացահայտի այն:
Ցանցային միացումներ (իրադարձության ID 3): Ակնհայտ է, որ կան բազմաթիվ ցանցային կապեր, և անհնար է հետևել դրանց բոլորին: Բայց կարևոր է հաշվի առնել, որ Sysmon-ը, ի տարբերություն Security Log-ի, կարող է կապել ցանցային կապը ProcessID և ProcessGUID դաշտերի հետ և ցույց է տալիս աղբյուրի և նպատակակետի նավահանգիստը և IP հասցեները:
Փոփոխություններ համակարգային ռեեստրում (իրադարձության ID 12-14): Autorun-ին ավելացնելու ամենահեշտ ձևը ռեեստրում գրանցվելն է: Անվտանգության գրանցամատյանը կարող է դա անել, բայց Sysmon-ը ցույց է տալիս, թե ով է կատարել փոփոխությունները, երբ, որտեղից, գործընթացի ID-ն և նախորդ բանալու արժեքը:
Ֆայլի ստեղծում (իրադարձության ID 11): Sysmon-ը, ի տարբերություն Security Log-ի, ցույց կտա ոչ միայն ֆայլի գտնվելու վայրը, այլև նրա անունը։ Հասկանալի է, որ դուք չեք կարող հետևել ամեն ինչին, բայց կարող եք ստուգել որոշակի գրացուցակներ:
Եվ հիմա այն, ինչ չկա Անվտանգության մատյան քաղաքականության մեջ, բայց գտնվում է Sysmon-ում.
Ֆայլի ստեղծման ժամանակի փոփոխություն (Իրադարձության ID 2): Որոշ չարամիտ ծրագրեր կարող են կեղծել ֆայլի ստեղծման ամսաթիվը՝ թաքցնելու այն վերջերս ստեղծված ֆայլերի հաշվետվություններից:
Վարորդների և դինամիկ գրադարանների բեռնում (իրադարձության ID-ներ 6-7): DLL-ների և սարքի դրայվերների հիշողության մեջ բեռնման մոնիտորինգ, թվային ստորագրության և դրա վավերականության ստուգում:
Ստեղծեք թեմա ընթացիկ գործընթացում (իրադարձության ID 8): Հարձակման մեկ տեսակ, որը նույնպես պետք է վերահսկվի:
RawAccessRead իրադարձություններ (իրադարձության ID 9): Սկավառակի ընթերցման գործողությունները օգտագործելով «.»: Դեպքերի ճնշող մեծամասնությունում նման գործունեությունը պետք է աննորմալ համարել:
Ստեղծեք անունով ֆայլի հոսք (իրադարձության ID 15): Միջոցառումը գրանցվում է, երբ ստեղծվում է անվանված ֆայլի հոսք, որը թողարկում է իրադարձություններ՝ ֆայլի բովանդակության հաշով:
Անվանված խողովակի և կապի ստեղծում (իրադարձության ID 17-18): Հետևել վնասակար կոդի, որը շփվում է այլ բաղադրիչների հետ նշված խողովակի միջոցով:
WMI գործունեությունը (իրադարձության ID 19): Իրադարձությունների գրանցում, որոնք առաջանում են WMI արձանագրության միջոցով համակարգ մուտք գործելիս:
Ինքնին Sysmon-ը պաշտպանելու համար դուք պետք է վերահսկեք իրադարձությունները ID 4-ով (Sysmon-ի կանգառ և մեկնարկ) և ID 16 (Sysmon-ի կազմաձևման փոփոխություններ):
Power Shell տեղեկամատյաններ
Power Shell-ը հզոր գործիք է Windows-ի ենթակառուցվածքը կառավարելու համար, ուստի հավանականությունը մեծ է, որ հարձակվողը կընտրի այն: Կա երկու աղբյուր, որոնք կարող եք օգտագործել Power Shell-ի իրադարձությունների տվյալները ստանալու համար՝ Windows PowerShell մատյան և Microsoft-WindowsPowerShell/Օպերացիոն մատյան:
Windows PowerShell մատյան
Տվյալների մատակարարը բեռնված է (իրադարձության ID 600): PowerShell պրովայդերները ծրագրեր են, որոնք PowerShell-ին տրամադրում են տվյալների աղբյուր՝ դիտելու և կառավարելու համար: Օրինակ, ներկառուցված մատակարարները կարող են լինել Windows միջավայրի փոփոխականները կամ համակարգի ռեեստրը: Նոր մատակարարների ի հայտ գալը պետք է վերահսկվի, որպեսզի ժամանակին հայտնաբերվի վնասակար գործունեությունը: Օրինակ, եթե տեսնում եք, որ WSMan-ը հայտնվում է մատակարարների շրջանում, ապա սկսվել է PowerShell-ի հեռակա նիստը:
Microsoft-WindowsPowerShell / Գործառնական մատյան (կամ MicrosoftWindows-PowerShellCore / Operational PowerShell 6-ում)
Մոդուլի գրանցում (իրադարձության ID 4103): Իրադարձությունները պահում են տեղեկատվությունը յուրաքանչյուր կատարված հրամանի և այն պարամետրերի մասին, որոնցով այն կանչվել է:
Սցենարների արգելափակման գրանցում (իրադարձության ID 4104): Սցենարների արգելափակման գրանցումը ցույց է տալիս PowerShell կոդի յուրաքանչյուր բլոկ, որը կատարվել է: Նույնիսկ եթե հարձակվողը փորձում է թաքցնել հրամանը, այս միջոցառման տեսակը ցույց կտա PowerShell հրամանը, որն իրականում կատարվել է: Այս իրադարձության տեսակը կարող է նաև գրանցել որոշ ցածր մակարդակի API զանգեր, որոնք կատարվում են, այդ իրադարձությունները սովորաբար գրանցվում են որպես Verbose, բայց եթե կասկածելի հրաման կամ սկրիպտ է օգտագործվում կոդի բլոկում, այն գրանցվում է որպես Զգուշացման խստություն:
Խնդրում ենք նկատի ունենալ, որ երբ գործիքը կազմաձևվի այս իրադարձությունները հավաքելու և վերլուծելու համար, վրիպազերծման լրացուցիչ ժամանակ կպահանջվի՝ կեղծ դրականների քանակը նվազեցնելու համար:
Մեկնաբանություններում ասեք, թե ինչ տեղեկամատյաններ եք հավաքում տեղեկատվական անվտանգության աուդիտի համար և ինչ գործիքներ եք օգտագործում դրա համար: Մեր ոլորտներից մեկը տեղեկատվական անվտանգության միջոցառումների աուդիտի լուծումներն են: Գերանների հավաքման և վերլուծության խնդիրը լուծելու համար մենք կարող ենք առաջարկել ավելի մոտիկից նայել , որը կարող է սեղմել պահված տվյալները 20:1 հարաբերակցությամբ, և դրա մեկ տեղադրված օրինակն ընդունակ է մշակել մինչև 60000 իրադարձություն վայրկյանում 10000 աղբյուրից։
Source: www.habr.com