Vinnustöð notenda er viðkvæmasti punkturinn í innviðum hvað varðar upplýsingaöryggi. Notendur gætu fengið bréf í vinnupóstinn sinn sem virðist vera frá öruggum uppruna, en með tengli á sýkta síðu. Kannski mun einhver hala niður tóli sem er gagnlegt fyrir vinnu frá óþekktum stað. Já, þú getur komið með heilmikið af tilfellum um hvernig spilliforrit geta síast innra auðlinda fyrirtækja í gegnum notendur. Þess vegna krefjast vinnustöðvar aukinnar athygli og í þessari grein munum við segja þér hvar og hvaða atburði á að taka til að fylgjast með árásum.
Til að greina árás á fyrsta mögulega stigi hefur WIndows þrjár gagnlegar atburðauppsprettur: Öryggisviðburðaskrána, kerfiseftirlitsskrána og Power Shell logs.
Öryggisviðburðaskrá
Þetta er aðal geymslustaðurinn fyrir öryggisskrár kerfisins. Þetta felur í sér atburði vegna innskráningar/útskráningar notenda, aðgangs að hlutum, stefnubreytinga og annarra öryggistengdra athafna. Auðvitað, ef viðeigandi stefna er stillt.
Upptalning notenda og hópa (viðburðir 4798 og 4799). Strax í upphafi árásar leitar spilliforrit oft í gegnum staðbundna notendareikninga og staðbundna hópa á vinnustöð til að finna skilríki fyrir skuggaleg viðskipti sín. Þessir atburðir munu hjálpa til við að greina skaðlegan kóða áður en hann heldur áfram og með því að nota söfnuð gögn dreifist hann í önnur kerfi.
Stofnun staðbundins reiknings og breytingar á staðbundnum hópum (viðburðir 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 og 5377). Árásin getur einnig byrjað, til dæmis með því að bæta nýjum notanda við hóp stjórnenda á staðnum.
Innskráningartilraunir með staðbundnum reikningi (atburður 4624). Virðulegir notendur skrá sig inn með lénsreikningi og að auðkenna innskráningu undir staðbundnum reikningi getur þýtt upphaf árásar. Atburður 4624 inniheldur einnig innskráningar undir lénsreikningi, þannig að við vinnslu atburða þarftu að sía út atburði þar sem lénið er annað en nafn vinnustöðvarinnar.
Tilraun til að skrá þig inn með tilgreindum reikningi (atburður 4648). Þetta gerist þegar ferlið er í gangi í „keyra sem“ ham. Þetta ætti ekki að gerast við venjulega notkun kerfa, þannig að slíkum atburðum verður að hafa stjórn á.
Læsa/aflæsa vinnustöðinni (viðburðir 4800-4803). Í flokki grunsamlegra atburða eru allar aðgerðir sem áttu sér stað á læstri vinnustöð.
Breytingar á uppsetningu eldveggs (viðburðir 4944-4958). Augljóslega, þegar nýr hugbúnaður er settur upp, geta stillingar eldveggsins breyst, sem mun valda fölskum jákvæðum. Í flestum tilfellum er engin þörf á að stjórna slíkum breytingum, en það mun örugglega ekki meiða að vita af þeim.
Að tengja Plug'n'play tæki (viðburður 6416 og aðeins fyrir Windows 10). Það er mikilvægt að fylgjast með þessu ef notendur tengja venjulega ekki ný tæki við vinnustöðina, en svo skyndilega gera þeir það.
Windows inniheldur 9 endurskoðunarflokka og 50 undirflokka til að fínstilla. Lágmarkssett af undirflokkum sem ætti að vera virkt í stillingunum:
Innskráning / útskráning
- Skráðu þig inn;
- Skrá út;
- Lokun reiknings;
- Aðrir innskráningar-/útskráningarviðburðir.
Reikningur Stjórnun
- Stjórnun notendareiknings;
- Öryggishópsstjórnun.
Stefnubreyting
- Breyting á endurskoðunarstefnu;
- Breyting á staðfestingarstefnu;
- Breyting á heimildarstefnu.
Kerfisskjár (Sysmon)
Sysmon er tól sem er innbyggt í Windows sem getur skráð atburði í kerfisskránni. Venjulega þarftu að setja það upp sérstaklega.
Þessa sömu atburði er í grundvallaratriðum að finna í öryggisskránni (með því að virkja æskilega endurskoðunarstefnu), en Sysmon veitir frekari upplýsingar. Hvaða atburði er hægt að taka frá Sysmon?
Stofnun ferlis (auðkenni viðburðar 1). Kerfisöryggisatburðaskráin getur líka sagt þér hvenær *.exe byrjaði og jafnvel sýnt nafn þess og ræsingarslóð. En ólíkt Sysmon mun það ekki geta sýnt hass forritsins. Illgjarn hugbúnaður gæti jafnvel verið kallaður skaðlaus notepad.exe, en það er hassið sem mun draga það fram í dagsljósið.
Nettengingar (Auðkenni viðburðar 3). Augljóslega eru margar nettengingar og það er ómögulegt að fylgjast með þeim öllum. En það er mikilvægt að hafa í huga að Sysmon, ólíkt Security Log, getur bundið nettengingu við ProcessID og ProcessGUID reitina og sýnir gátt og IP vistföng upprunans og áfangastaðarins.
Breytingar á kerfisskránni (auðkenni viðburðar 12-14). Auðveldasta leiðin til að bæta sjálfum þér við sjálfvirka keyrslu er að skrá þig í skrána. Öryggisskrá getur gert þetta, en Sysmon sýnir hver gerði breytingarnar, hvenær, hvaðan, vinnsluauðkenni og fyrra lykilgildi.
Skráargerð (auðkenni viðburðar 11). Sysmon, ólíkt öryggisskránni, mun sýna ekki aðeins staðsetningu skráarinnar heldur einnig nafn hennar. Það er ljóst að þú getur ekki fylgst með öllu, en þú getur endurskoðað ákveðnar möppur.
Og nú er það sem er ekki í öryggisskrárreglum, heldur í Sysmon:
Breyting á stofnunartíma skráar (Auðkenni viðburðar 2). Sumt spilliforrit getur falsað stofnunardagsetningu skráar til að fela hana fyrir skýrslum um nýlega búnar skrár.
Hleður rekla og kraftmikil bókasöfn (atburðakenni 6-7). Að fylgjast með hleðslu DLLs og tækjarekla í minni, athuga stafrænu undirskriftina og gildi hennar.
Búðu til þráð í ferli sem er í gangi (atburðakenni 8). Ein tegund árása sem einnig þarf að fylgjast með.
RawAccessRead viðburðir (Auðkenni viðburðar 9). Lestraraðgerðir á diskum með því að nota „.“. Í langflestum tilfellum ætti slík starfsemi að teljast óeðlileg.
Búðu til nafngreindan skráarstraum (auðkenni viðburðar 15). Atburður er skráður þegar nafngreindur skráarstraumur er búinn til sem gefur frá sér atburði með kjötkássa af innihaldi skráarinnar.
Að búa til nafngreinda pípu og tengingu (auðkenni viðburðar 17-18). Rekja skaðlegan kóða sem hefur samskipti við aðra hluti í gegnum nafngreinda pípu.
WMI virkni (auðkenni viðburðar 19). Skráning atburða sem myndast við aðgang að kerfinu í gegnum WMI samskiptareglur.
Til að vernda Sysmon sjálft þarftu að fylgjast með atburðum með ID 4 (Sysmon stöðvast og byrjar) og ID 16 (Sysmon stillingarbreytingar).
Power Shell Logs
Power Shell er öflugt tæki til að stjórna Windows innviðum, þannig að líkurnar eru miklar á að árásarmaður velji það. Það eru tvær heimildir sem þú getur notað til að fá Power Shell atburðagögn: Windows PowerShell log og Microsoft-WindowsPowerShell/Operational log.
Windows PowerShell log
Gagnaveitan hlaðin (atburðakenni 600). PowerShell veitendur eru forrit sem veita gagnagjafa fyrir PowerShell til að skoða og stjórna. Til dæmis gætu innbyggðar veitendur verið Windows umhverfisbreytur eða kerfisskráin. Fylgjast verður með tilkomu nýrra birgja til að greina skaðsemi í tíma. Til dæmis, ef þú sérð WSMan birtast meðal veitenda, þá hefur ytri PowerShell lota verið ræst.
Microsoft-WindowsPowerShell / Operational log (eða MicrosoftWindows-PowerShellCore / Operational í PowerShell 6)
Einingaskráning (auðkenni viðburðar 4103). Viðburðir geyma upplýsingar um hverja framkvæmda skipun og færibreyturnar sem hún var kölluð með.
Forskriftarloka skráningu (atburðakenni 4104). Forskriftablokkunarskráning sýnir hverja blokk af PowerShell kóða sem keyrður er. Jafnvel þótt árásarmaður reyni að fela skipunina mun þessi atburðartegund sýna PowerShell skipunina sem var í raun framkvæmd. Þessi atburðartegund getur einnig skráð nokkur lágstig API símtöl sem verið er að hringja í, þessir atburðir eru venjulega skráðir sem orðaðir, en ef grunsamleg skipun eða forskrift er notuð í kóðablokk, verður það skráð sem alvarleika viðvörunar.
Vinsamlegast athugaðu að þegar tólið hefur verið stillt til að safna og greina þessa atburði, þarf frekari kembiforrit til að fækka fölskum jákvæðum.
Segðu okkur í athugasemdunum hvaða annálum þú safnar fyrir upplýsingaöryggisúttektir og hvaða verkfæri þú notar til þess. Eitt af áherslusviðum okkar eru lausnir fyrir endurskoðun upplýsingaöryggisatburða. Til að leysa vandamálið við að safna og greina annála getum við lagt til að skoða nánar , sem getur þjappað geymdum gögnum í hlutfallinu 20:1, og eitt uppsett tilvik af því er fær um að vinna allt að 60000 atburði á sekúndu frá 10000 heimildum.
Heimild: www.habr.com