Windows OS ベースのワークステーションのログから役立つこと

ユーザーのワークステーションは、情報セキュリティの観点からインフラストラクチャの最も脆弱なポイントです。 ユーザーは、安全な送信元から送信されたように見えても、感染したサイトへのリンクが含まれた手紙を仕事用メールで受け取ることがあります。 おそらく誰かが、仕事に役立つユーティリティを未知の場所からダウンロードするでしょう。 はい、マルウェアがユーザーを通じて企業内部リソースにどのように侵入するかについては、数十のケースを思いつくことができます。 したがって、ワークステーションにはさらに注意が必要です。この記事では、攻撃を監視するためにどこでどのようなイベントを実行する必要があるかを説明します。

可能な限り早い段階で攻撃を検出するために、Windows には、セキュリティ イベント ログ、システム監視ログ、および Power Shell ログという XNUMX つの便利なイベント ソースがあります。

セキュリティイベントログ

これは、システム セキュリティ ログの主な保存場所です。 これには、ユーザーのログイン/ログアウト、オブジェクトへのアクセス、ポリシーの変更、その他のセキュリティ関連のアクティビティのイベントが含まれます。 もちろん、適切なポリシーが設定されている場合に限ります。

ユーザーとグループの列挙 (イベント 4798 および 4799)。 攻撃の最初に、マルウェアは多くの場合、ワークステーション上のローカル ユーザー アカウントとローカル グループを検索して、その怪しい取引のための認証情報を見つけます。 これらのイベントは、悪意のあるコードが進行し、収集されたデータを使用して他のシステムに拡散する前に検出するのに役立ちます。

ローカル アカウントの作成とローカル グループの変更 (イベント 4720、4722 ～ 4726、4738、4740、4767、4780、4781、4794、5376、および 5377)。 たとえば、ローカル管理者グループに新しいユーザーを追加することによって攻撃が開始されることもあります。

ローカル アカウントを使用してログインを試行します (イベント 4624)。 立派なユーザーはドメイン アカウントでログインしますが、ローカル アカウントでのログインが特定されると、攻撃の開始を意味する可能性があります。 イベント 4624 にはドメイン アカウントでのログインも含まれるため、イベントを処理するときは、ドメインがワークステーション名と異なるイベントをフィルターで除外する必要があります。

指定されたアカウントでログインしようとしました (イベント 4648)。 これは、プロセスが「実行」モードで実行されているときに発生します。 これはシステムの通常の動作中には発生すべきではないため、このようなイベントは制御する必要があります。

ワークステーションのロック/ロック解除 (イベント 4800 ～ 4803)。 不審なイベントのカテゴリには、ロックされたワークステーションで発生したアクションが含まれます。

ファイアウォール構成の変更 (イベント 4944 ～ 4958)。 新しいソフトウェアをインストールすると、ファイアウォールの構成設定が変更される可能性があり、これにより誤検知が発生する可能性があります。 ほとんどの場合、そのような変更を制御する必要はありませんが、知っていて損はありません。

プラグアンドプレイ デバイスの接続 (イベント 6416、Windows 10 のみ)。 ユーザーが通常は新しいデバイスをワークステーションに接続しないのに、突然接続するようになる場合は、これに注意することが重要です。

Windows には、微調整用の 9 つの監査カテゴリと 50 のサブカテゴリが含まれています。 設定で有効にする必要があるサブカテゴリの最小セット:

ログオン/ログオフ

• ログオン;
• ログオフ;
• アカウントのロックアウト;
• その他のログオン/ログオフ イベント。

アカウントマネジメント

• ユーザーアカウント管理;
• セキュリティグループ管理。

ポリシーの変更

• 監査ポリシーの変更。
• 認証ポリシーの変更。
• 認可ポリシーの変更。

システムモニター（Sysmon）

Sysmon は、システム ログにイベントを記録できる Windows に組み込まれたユーティリティです。 通常は個別にインストールする必要があります。

これらの同じイベントは、原則として (必要な監査ポリシーを有効にすることで) セキュリティ ログで見つけることができますが、Sysmon はより詳細な情報を提供します。 Sysmonから取得できるイベントは何ですか?

プロセスの作成 (イベント ID 1)。 システム セキュリティ イベント ログでは、*.exe がいつ開始されたかがわかり、その名前と起動パスも表示されます。 ただし、Sysmon とは異なり、アプリケーション ハッシュを表示することはできません。 悪意のあるソフトウェアは無害な notepad.exe と呼ばれることもありますが、それを明らかにするのはハッシュです。

ネットワーク接続 (イベント ID 3)。 明らかに、ネットワーク接続は多数あり、それらすべてを追跡することは不可能です。 ただし、セキュリティ ログとは異なり、Sysmon はネットワーク接続を ProcessID フィールドと ProcessGUID フィールドにバインドでき、送信元と宛先のポートと IP アドレスを表示できることを考慮することが重要です。

システム レジストリの変更 (イベント ID 12 ～ 14)。 自分自身を自動実行に追加する最も簡単な方法は、レジストリに登録することです。 セキュリティ ログはこれを実行できますが、Sysmon には、誰が、いつ、どこから変更を加えたか、プロセス ID と以前のキーの値が表示されます。

ファイルの作成 (イベント ID 11)。 Sysmon は、セキュリティ ログとは異なり、ファイルの場所だけでなく名前も表示します。 すべてを追跡することはできないことは明らかですが、特定のディレクトリを監査することはできます。

そして、セキュリティ ログ ポリシーにはなく、Sysmon に含まれるものは次のとおりです。

ファイル作成時刻の変更 (イベント ID 2)。 一部のマルウェアは、ファイルの作成日を偽装して、最近作成されたファイルのレポートからその日付を隠すことができます。

ドライバーとダイナミック ライブラリをロードしています (イベント ID 6 ～ 7)。 DLL とデバイス ドライバーのメモリへのロードを監視し、デジタル署名とその有効性をチェックします。

実行中のプロセス (イベント ID 8) にスレッドを作成します。 これも監視する必要がある攻撃の XNUMX 種類です。

RawAccessRead イベント (イベント ID 9)。 「.」を使用したディスク読み取り操作。 ほとんどの場合、そのような活動は異常であると考えるべきです。

名前付きファイル ストリーム (イベント ID 15) を作成します。 ファイルの内容のハッシュを含むイベントを発行する名前付きファイル ストリームが作成されると、イベントがログに記録されます。

名前付きパイプと接続を作成します (イベント ID 17 ～ 18)。 名前付きパイプを介して他のコンポーネントと通信する悪意のあるコードを追跡します。

WMI アクティビティ (イベント ID 19)。 WMI プロトコル経由でシステムにアクセスするときに生成されるイベントの登録。

Sysmon 自体を保護するには、ID 4 (Sysmon の停止と開始) と ID 16 (Sysmon 構成の変更) のイベントを監視する必要があります。

パワーシェルログ

Power Shell は Windows インフラストラクチャを管理するための強力なツールであるため、攻撃者がこれを選択する可能性が高くなります。 Power Shell イベント データの取得には、Windows PowerShell ログと Microsoft-WindowsPowerShell/Operational ログの XNUMX つのソースを使用できます。

Windows PowerShell ログ

データ プロバイダーがロードされました (イベント ID 600)。 PowerShell プロバイダーは、PowerShell が表示および管理するためのデータ ソースを提供するプログラムです。 たとえば、組み込みプロバイダーは、Windows 環境変数またはシステム レジストリである可能性があります。 悪意のある活動を適時に検出するには、新しいサプライヤーの出現を監視する必要があります。 たとえば、プロバイダーの中に WSMan が表示されている場合は、リモート PowerShell セッションが開始されています。

Microsoft-WindowsPowerShell / 操作ログ (または PowerShell 6 の MicrosoftWindows-PowerShellCore / Operational)

モジュールのログ記録 (イベント ID 4103)。 イベントには、実行された各コマンドとそのコマンドを呼び出したパラメータに関する情報が保存されます。

スクリプトのログ記録のブロック (イベント ID 4104)。 スクリプト ブロックのログには、実行された PowerShell コードのすべてのブロックが表示されます。 攻撃者がコマンドを隠蔽しようとしても、このイベント タイプでは実際に実行された PowerShell コマンドが表示されます。 このイベント タイプは、実行されている低レベル API 呼び出しをログに記録することもできます。これらのイベントは通常詳細として記録されますが、疑わしいコマンドまたはスクリプトがコード ブロックで使用されている場合は、重大度が警告として記録されます。

これらのイベントを収集して分析するようにツールを構成すると、誤検知の数を減らすために追加のデバッグ時間が必要になることに注意してください。

情報セキュリティ監査のためにどのようなログを収集しているか、またそのためにどのようなツールを使用しているかをコメントで教えてください。 当社が注力している分野の XNUMX つは、情報セキュリティ イベントを監査するためのソリューションです。 ログの収集と分析の問題を解決するには、以下を詳しく調べることをお勧めします。 クエスト・イントラスト、保存されたデータを 20:1 の比率で圧縮でき、インストールされた 60000 つのインスタンスは、10000 のソースから XNUMX 秒あたり最大 XNUMX のイベントを処理できます。

出所： habr.com