Stasiun kerja pangguna minangka titik paling rentan ing infrastruktur babagan keamanan informasi. Pangguna bisa nampa layang menyang email kerja sing katon saka sumber sing aman, nanging kanthi link menyang situs sing kena infeksi. Mbok menawa ana sing bakal ngundhuh sarana sing migunani kanggo karya saka lokasi sing ora dingerteni. Ya, sampeyan bisa nemokake puluhan kasus babagan carane malware bisa nyusup sumber daya perusahaan internal liwat pangguna. Mulane, workstation mbutuhake manungsa waé tambah, lan ing artikel iki kita bakal pitutur marang kowe ngendi lan acara apa kanggo ngawasi serangan.
Kanggo ndeteksi serangan ing tahap paling awal, Windows duwe telung sumber acara sing migunani: Log Acara Keamanan, Log Pemantauan Sistem, lan Log Power Shell.
Log Acara Keamanan
Iki minangka lokasi panyimpenan utama kanggo log keamanan sistem. Iki kalebu acara login / logout pangguna, akses menyang obyek, owah-owahan kebijakan, lan aktivitas sing gegandhengan karo keamanan liyane. Mesthi, yen kabijakan sing cocog wis diatur.
Enumerasi pangguna lan grup (acara 4798 lan 4799). Ing wiwitan serangan, malware asring nelusuri akun pangguna lokal lan grup lokal ing stasiun kerja kanggo nemokake kredensial kanggo transaksi sing surem. Acara kasebut bakal mbantu ndeteksi kode ala sadurunge diterusake lan, nggunakake data sing diklumpukake, nyebar menyang sistem liyane.
Nggawe akun lokal lan owah-owahan ing grup lokal (acara 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 lan 5377). Serangan uga bisa diwiwiti, contone, kanthi nambah pangguna anyar menyang grup pangurus lokal.
Upaya login nganggo akun lokal (acara 4624). Pangguna sing dihormati mlebu nganggo akun domain, lan ngenali login ing akun lokal bisa ateges wiwitan serangan. Acara 4624 uga kalebu login ing akun domain, dadi nalika ngolah acara, sampeyan kudu nyaring acara sing domain beda karo jeneng stasiun kerja.
Nyoba kanggo mlebu karo akun kasebut (acara 4648). Iki kedadeyan nalika proses mlaku ing mode "run as". Iki ora kudu kedadeyan sajrone operasi normal sistem, mula kedadeyan kasebut kudu dikontrol.
Ngunci / mbukak kunci workstation (acara 4800-4803). Kategori acara curiga kalebu tumindak apa wae sing kedadeyan ing stasiun kerja sing dikunci.
Owah-owahan konfigurasi firewall (acara 4944-4958). Temenan, nalika nginstal piranti lunak anyar, setelan konfigurasi firewall bisa diganti, sing bakal nyebabake positip palsu. Umume kasus, ora perlu ngontrol owah-owahan kasebut, nanging mesthi ora ngerti babagan iki.
Nyambungake piranti Plug'n'play (acara 6416 lan mung kanggo Windows 10). Penting kanggo ngawasi iki yen pangguna biasane ora nyambungake piranti anyar menyang workstation, nanging banjur dumadakan.
Windows kalebu 9 kategori audit lan 50 subkategori kanggo fine-tuning. Set minimal subkategori sing kudu diaktifake ing setelan:
Logon / Logoff
- Logon;
- Logoff;
- Lockout akun;
- Acara Logon / Logoff liyane.
Manajemen akun
- Manajemen Akun Panganggo;
- Manajemen Grup Keamanan.
Owah-owahan Kabijakan
- Owah-owahan Kebijakan Audit;
- Owah-owahan Kabijakan Otentikasi;
- Owah-owahan Kabijakan Wewenang.
Sistem Monitor (Sysmon)
Sysmon minangka sarana sing dibangun ing Windows sing bisa ngrekam acara ing log sistem. Biasane sampeyan kudu nginstal kanthi kapisah.
Iki acara padha bisa, ing asas, ditemokaké ing log keamanan (kanthi mbisakake kabijakan audit dikarepake), nanging Sysmon menehi luwih rinci. Acara apa sing bisa dijupuk saka Sysmon?
Proses nggawe (ID acara 1). Log acara keamanan sistem uga bisa menehi pitutur marang sampeyan nalika *.exe diluncurake lan malah nuduhake jeneng lan jalur peluncuran. Nanging ora kaya Sysmon, ora bakal bisa nuduhake hash aplikasi. Piranti lunak angkoro bisa uga diarani notepad.exe sing ora mbebayani, nanging hash sing bakal dingerteni.
Sambungan Jaringan (ID Acara 3). Temenan, ana akeh sambungan jaringan, lan ora bisa dilacak kabeh. Nanging iku penting kanggo nimbang sing Sysmon, Boten kados Keamanan Log, bisa njiret sambungan jaringan menyang ProcessID lan ProcessGUID lapangan, lan nuduhake port lan alamat IP saka sumber lan panggonan.
Owah-owahan ing pendaptaran sistem (ID acara 12-14). Cara paling gampang kanggo nambah dhewe menyang autorun yaiku ndhaptar ing pendaptaran. Log Keamanan bisa nindakake iki, nanging Sysmon nuduhake sing nggawe owah-owahan, nalika, saka ngendi, proses ID lan nilai tombol sadurungé.
Nggawe file (ID acara 11). Sysmon, ora kaya Log Keamanan, bakal nuduhake ora mung lokasi file, nanging uga jenenge. Cetha yen sampeyan ora bisa nglacak kabeh, nanging sampeyan bisa mriksa direktori tartamtu.
Lan saiki sing ora ana ing kabijakan Log Keamanan, nanging ana ing Sysmon:
Ganti wektu nggawe file (ID acara 2). Sawetara malware bisa ngapusi tanggal nggawe file kanggo ndhelikake saka laporan file sing bubar digawe.
Ngunggah driver lan perpustakaan dinamis (ID acara 6-7). Ngawasi loading DLL lan driver piranti menyang memori, mriksa tandha digital lan kesahihan.
Nggawe thread ing proses mlaku (ID acara 8). Salah sawijining jinis serangan sing uga kudu diawasi.
Acara RawAccessRead (ID Acara 9). Operasi maca disk nggunakake ".". Ing mayoritas kasus, kegiatan kasebut kudu dianggep ora normal.
Nggawe stream file jenenge (ID acara 15). Acara dicathet nalika stream file sing dijenengi digawe sing ngetokake acara kanthi hash isi file kasebut.
Nggawe pipa jenenge lan sambungan (ID acara 17-18). Nelusuri kode angkoro sing komunikasi karo komponen liyane liwat pipa jenenge.
Aktivitas WMI (ID acara 19). Registrasi acara sing digawe nalika ngakses sistem liwat protokol WMI.
Kanggo nglindhungi Sysmon dhewe, sampeyan kudu ngawasi acara karo ID 4 (Sysmon mandeg lan miwiti) lan ID 16 (owahan konfigurasi Sysmon).
Power Shell Log
Power Shell minangka alat sing kuat kanggo ngatur infrastruktur Windows, mula kemungkinan gedhe yen panyerang bakal milih. Ana rong sumber sing bisa digunakake kanggo njupuk data acara Power Shell: Windows PowerShell log lan Microsoft-WindowsPowerShell/Log operasional.
Log Windows PowerShell
Panyedhiya data dimuat (ID acara 600). Panyedhiya PowerShell minangka program sing nyedhiyakake sumber data kanggo dideleng lan dikelola dening PowerShell. Contone, panyedhiya sing dibangun bisa dadi variabel lingkungan Windows utawa registri sistem. Munculake pemasok anyar kudu dipantau supaya bisa ndeteksi kegiatan ala ing wektu. Contone, yen sampeyan ndeleng WSMan katon ing antarane panyedhiya, banjur sesi PowerShell remot wis diwiwiti.
Microsoft-WindowsPowerShell / Log Operasional (utawa MicrosoftWindows-PowerShellCore / Operasional ing PowerShell 6)
Log modul (ID acara 4103). Acara nyimpen informasi babagan saben printah sing dieksekusi lan paramèter sing diarani.
Log pamblokiran skrip (ID acara 4104). Log pamblokiran skrip nuduhake saben blok kode PowerShell sing dieksekusi. Sanajan panyerang nyoba ndhelikake printah kasebut, jinis acara iki bakal nuduhake printah PowerShell sing bener-bener dieksekusi. Jinis acara iki uga bisa log sawetara panggilan API tingkat kurang kang digawe, acara iki biasane direkam minangka Verbose, nanging yen printah curiga utawa script digunakake ing pemblokiran kode, iku bakal mlebu minangka keruwetan Warning.
Elinga yen alat kasebut dikonfigurasi kanggo ngumpulake lan nganalisa acara kasebut, wektu debugging tambahan bakal dibutuhake kanggo nyuda jumlah positif palsu.
Marang kita ing komentar apa log sing sampeyan kumpulake kanggo audit keamanan informasi lan alat apa sing sampeyan gunakake kanggo iki. Salah sawijining area fokus yaiku solusi kanggo audit acara keamanan informasi. Kanggo ngatasi masalah ngempalaken lan nganalisa log, kita bisa menehi saran njupuk dipikir nyedhaki , sing bisa ngompres data sing disimpen kanthi rasio 20:1, lan siji conto sing diinstal bisa ngolah nganti 60000 acara per detik saka 10000 sumber.
Source: www.habr.com