אילו דברים שימושיים ניתן לחלץ מהיומנים של תחנת עבודה מבוססת Windows?

תחנת העבודה של המשתמש היא הנקודה הפגיעה ביותר של התשתית מבחינת אבטחת מידע. משתמשים עשויים לקבל מכתב למייל העבודה שלהם שנראה ממקור בטוח, אך עם קישור לאתר נגוע. אולי מישהו יוריד כלי עזר שימושי לעבודה ממיקום לא ידוע. כן, אתה יכול להמציא עשרות מקרים של איך תוכנות זדוניות יכולות לחדור למשאבים פנימיים ארגוניים דרך משתמשים. לכן, תחנות עבודה דורשות תשומת לב מוגברת, ובמאמר זה נספר לכם היכן ואיזה אירועים לבצע כדי לנטר התקפות.

כדי לזהות התקפה בשלב המוקדם ביותר האפשרי, ל-Windows יש שלושה מקורות אירועים שימושיים: יומן אירועי האבטחה, יומן ניטור המערכת ויומני ה-Power Shell.

יומן אירועי אבטחה

זהו מיקום האחסון העיקרי עבור יומני אבטחת המערכת. זה כולל אירועים של התחברות/יציאה של משתמשים, גישה לאובייקטים, שינויים במדיניות ופעילויות אחרות הקשורות לאבטחה. כמובן, אם המדיניות המתאימה מוגדרת.

ספירת משתמשים וקבוצות (אירועים 4798 ו-4799). בתחילת ההתקפה, תוכנות זדוניות מחפשות לעתים קרובות חשבונות משתמשים מקומיים וקבוצות מקומיות בתחנת עבודה כדי למצוא אישורים לעסקאות המפוקפקות שלה. אירועים אלה יסייעו לזהות קוד זדוני לפני שהוא ממשיך הלאה, ובאמצעות הנתונים שנאספו, יתפשט למערכות אחרות.

יצירת חשבון מקומי ושינויים בקבוצות מקומיות (אירועים 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 ו-5377). ההתקפה יכולה גם להתחיל, למשל, על ידי הוספת משתמש חדש לקבוצת המנהלים המקומית.

ניסיונות התחברות עם חשבון מקומי (אירוע 4624). משתמשים מכובדים מתחברים עם חשבון דומיין, וזיהוי התחברות תחת חשבון מקומי יכול להיות תחילתה של התקפה. אירוע 4624 כולל גם כניסות תחת חשבון דומיין, כך שכאשר מעבדים אירועים, עליך לסנן אירועים שבהם הדומיין שונה משם תחנת העבודה.

ניסיון להתחבר עם החשבון שצוין (אירוע 4648). זה קורה כאשר התהליך פועל במצב "הפעלה כ". זה לא אמור לקרות במהלך פעולה רגילה של מערכות, ולכן יש לשלוט באירועים כאלה.

נעילה/פתיחת תחנת העבודה (אירועים 4800-4803). הקטגוריה של אירועים חשודים כוללת את כל הפעולות שהתרחשו בתחנת עבודה נעולה.

שינויים בתצורת חומת האש (אירועים 4944-4958). ברור, בעת התקנת תוכנה חדשה, הגדרות תצורת חומת האש עשויות להשתנות, מה שיגרום לתוצאות שגויות. ברוב המקרים, אין צורך לשלוט בשינויים כאלה, אבל בהחלט לא יזיק לדעת עליהם.

חיבור התקני Plug'n'play (אירוע 6416 ורק עבור Windows 10). חשוב לפקוח עין על זה אם משתמשים בדרך כלל לא מחברים מכשירים חדשים לתחנת העבודה, אבל פתאום הם עושים זאת.

Windows כולל 9 קטגוריות ביקורת ו-50 קטגוריות משנה לכוונון עדין. קבוצת קטגוריות המשנה המינימלית שאמורה להיות מופעלת בהגדרות:

כניסה / כניסה

• כניסה;
• להתנתק;
• נעילת חשבון;
• אירועי כניסה/יציאה אחרים.

ניהול חשבון

• ניהול חשבון משתמש;
• ניהול קבוצת אבטחה.

שינוי מדיניות

• שינוי מדיניות ביקורת;
• שינוי מדיניות אימות;
• שינוי מדיניות הרשאות.

צג מערכת (Sysmon)

Sysmon הוא כלי עזר מובנה ב-Windows שיכול להקליט אירועים ביומן המערכת. בדרך כלל אתה צריך להתקין אותו בנפרד.

את אותם אירועים ניתן, באופן עקרוני, למצוא ביומן האבטחה (על ידי הפעלת מדיניות הביקורת הרצויה), אך Sysmon מספקת פרטים נוספים. אילו אירועים ניתן לקחת מסיסמון?

יצירת תהליך (מזהה אירוע 1). יומן אירועי אבטחת המערכת יכול גם לומר לך מתי *.exe התחיל ואפילו להציג את שמו ואת נתיב ההשקה שלו. אבל בניגוד ל-Sysmon, הוא לא יוכל להציג את ה-hash של האפליקציה. תוכנה זדונית עשויה אפילו להיקרא harmless notepad.exe, אבל ה-hash הוא זה שיביא אותה לידי ביטוי.

חיבורי רשת (זיהוי אירוע 3). ברור שיש הרבה חיבורי רשת, ואי אפשר לעקוב אחר כולם. אבל חשוב לקחת בחשבון ש-Sysmon, בניגוד ל-Security Log, יכולה לאגד חיבור רשת לשדות ProcessID ו-ProcessGUID, ומציגה את היציאה וכתובות ה-IP של המקור והיעד.

שינויים ברישום המערכת (מזהה אירוע 12-14). הדרך הקלה ביותר להוסיף את עצמך ל-autorun היא להירשם ברישום. יומן אבטחה יכול לעשות זאת, אבל Sysmon מראה מי ביצע את השינויים, מתי, מאיפה, מזהה התהליך וערך המפתח הקודם.

יצירת קובץ (מזהה אירוע 11). Sysmon, בניגוד ל-Security Log, תציג לא רק את מיקום הקובץ, אלא גם את שמו. ברור שאתה לא יכול לעקוב אחר הכל, אבל אתה יכול לבדוק ספריות מסוימות.

ועכשיו מה שלא נמצא במדיניות יומן אבטחה, אלא נמצא ב-Sysmon:

שינוי זמן יצירת הקובץ (מזהה אירוע 2). תוכנות זדוניות מסוימות עלולות לזייף את תאריך היצירה של קובץ כדי להסתיר אותו מדיווחים על קבצים שנוצרו לאחרונה.

טעינת דרייברים וספריות דינמיות (מזהות אירועים 6-7). ניטור טעינת DLL ומנהלי התקנים לזיכרון, בדיקת החתימה הדיגיטלית ותקפותה.

צור שרשור בתהליך פועל (מזהה אירוע 8). סוג אחד של התקפה שגם צריך לנטר.

אירועי RawAccessRead (מזהה אירוע 9). פעולות קריאת דיסק באמצעות ".". ברוב המוחלט של המקרים, פעילות כזו צריכה להיחשב חריגה.

צור זרם קבצים בשם (מזהה אירוע 15). אירוע נרשם כאשר נוצר זרם קבצים בשם שפולט אירועים עם hash של תוכן הקובץ.

יצירת צינור וחיבור בשם (מזהה אירוע 17-18). מעקב אחר קוד זדוני שמתקשר עם רכיבים אחרים דרך הצינור הנקוב.

פעילות WMI (זיהוי אירוע 19). רישום אירועים שנוצרים בעת גישה למערכת באמצעות פרוטוקול WMI.

כדי להגן על Sysmon עצמה, עליך לנטר אירועים עם ID 4 (Sysmon עצירה והתנעה) ומזהה 16 (שינויי תצורה של Sysmon).

יומני Power Shell

Power Shell הוא כלי רב עוצמה לניהול תשתית Windows, כך שרוב הסיכויים שתוקף יבחר בו. ישנם שני מקורות שבהם אתה יכול להשתמש כדי לקבל נתוני אירועי Power Shell: יומן Windows PowerShell ו-Microsoft-WindowsPowerShell/יומן תפעולי.

יומן Windows PowerShell

ספק הנתונים נטען (מזהה אירוע 600). ספקי PowerShell הם תוכניות המספקות מקור נתונים לצפייה וניהול של PowerShell. לדוגמה, ספקים מובנים יכולים להיות משתני סביבת Windows או רישום המערכת. יש לעקוב אחר הופעתם של ספקים חדשים על מנת לאתר פעילות זדונית בזמן. לדוגמה, אם אתה רואה את WSMan מופיע בין הספקים, אז החלה הפעלת PowerShell מרחוק.

Microsoft-WindowsPowerShell / יומן תפעול (או MicrosoftWindows-PowerShellCore / Operational ב-PowerShell 6)

רישום מודול (זיהוי אירוע 4103). אירועים מאחסנים מידע על כל פקודה שבוצעה והפרמטרים שאיתם היא נקראה.

רישום חוסם סקריפט (מזהה אירוע 4104). רישום חסימת סקריפט מציג כל בלוק של קוד PowerShell שהופעל. גם אם תוקף ינסה להסתיר את הפקודה, סוג האירוע הזה יציג את פקודת PowerShell שבוצעה בפועל. סוג אירוע זה יכול גם לרשום כמה קריאות API ברמה נמוכה שמתבצעות, אירועים אלה מתועדים בדרך כלל כ-Utual, אך אם נעשה שימוש בפקודה או סקריפט חשודים בבלוק קוד, הם יירשם כחומרת אזהרה.

שים לב שברגע שהכלי מוגדר לאסוף ולנתח אירועים אלה, יידרש זמן נוסף לניפוי באגים כדי להפחית את מספר התוצאות הכוזבות.

ספר לנו בתגובות אילו יומנים אתה אוסף עבור ביקורת אבטחת מידע ובאילו כלים אתה משתמש לשם כך. אחד מתחומי ההתמקדות שלנו הוא פתרונות לביקורת אירועי אבטחת מידע. כדי לפתור את הבעיה של איסוף וניתוח יומנים, אנו יכולים להציע לבחון מקרוב Quest InTrust, שיכול לדחוס נתונים מאוחסנים ביחס של 20:1, ומופע מותקן אחד שלו מסוגל לעבד עד 60000 אירועים בשנייה מ-10000 מקורות.

מקור: www.habr.com