Artikel iki minangka bagΓ©an pisanan saka seri babagan analisis ancaman Sysmon. Kabeh bagean liyane saka seri:
Part 1: Pambuka kanggo Sysmon Log Analysis (we are here)
Part 2: Nggunakake Data Acara Sysmon kanggo Ngenali Ancaman
Part 3. Analisis jero saka ancaman Sysmon nggunakake grafik
Yen sampeyan kerja ing keamanan informasi, sampeyan bisa uga kudu ngerti serangan sing terus-terusan. Yen sampeyan wis duwe mata sing dilatih, sampeyan bisa nggoleki aktivitas non-standar ing log "mentah" sing durung diproses - umpamane, skrip PowerShell mlaku
Pengin ngerti ide dhasar ing mburi ancaman sing ditampilake ing log Sysmon? Ngundhuh pandhuan kita
Ing bagean pisanan saka seri kita, kita bakal ndeleng apa sing bisa sampeyan lakoni karo informasi dhasar saka Sysmon. Ing Bagean XNUMX, kita bakal entuk manfaat saka informasi proses induk kanggo nggawe struktur kepatuhan sing luwih rumit sing dikenal minangka grafik ancaman. Ing bagean katelu, kita bakal ndeleng algoritma prasaja sing mindai grafik ancaman kanggo nggoleki aktivitas sing ora biasa kanthi nganalisa "bobot" grafik kasebut. Lan ing pungkasan, sampeyan bakal diganjar kanthi cara deteksi ancaman probabilistik sing rapi (lan bisa dingerteni).
Part 1: Pambuka kanggo Sysmon Log Analysis
Apa sing bisa mbantu sampeyan ngerti kerumitan log acara? Pungkasane - SIEM. Iki normalake acara lan nyederhanakake analisis sabanjure. Nanging kita ora kudu pindhah adoh, paling ora pisanan. Ing wiwitan, kanggo ngerti prinsip SIEM, cukup kanggo nyoba sarana Sysmon gratis sing apik banget. Lan dheweke kaget gampang digarap. Terusake, Microsoft!
Apa fitur sing diduweni Sysmon?
Ing cendhak - informasi migunani lan bisa diwaca babagan pangolahan (ndeleng gambar ing ngisor iki). Sampeyan bakal nemokake akeh rincian migunani sing ora ana ing Log Acara Windows, nanging sing paling penting yaiku kolom ing ngisor iki:
- ID Proses (ing desimal, dudu hex!)
- ID proses wong tuwa
- Proses baris printah
- Baris printah saka proses induk
- Gambar file hash
- Jeneng gambar berkas
Sysmon diinstal minangka driver piranti lan minangka layanan - rincian liyane
Sysmon njupuk lompatan kuantum maju kanthi nyedhiyakake informasi sing migunani (utawa kaya sing dikandhakake vendor, bisa ditindakake) kanggo mbantu ngerti proses dhasar. Contone, aku miwiti sesi rahasia
Log Windows nuduhake sawetara informasi babagan proses kasebut, nanging ora ana gunane. Plus ID proses ing heksadesimal ???
Kanggo profesional IT profesional kanthi pangerten babagan dhasar hacking, baris perintah kudu curiga. Nggunakake cmd.exe banjur nglakokake printah liyane lan pangalihan output menyang file kanthi jeneng aneh jelas padha karo tumindak ngawasi lan ngontrol piranti lunak
Saiki ayo goleki entri sing padha karo Sysmon, ngerteni jumlah informasi tambahan sing diwenehake:
Fitur Sysmon ing siji gambar: informasi rinci babagan proses ing wangun sing bisa diwaca
Sampeyan ora mung ndeleng baris perintah, nanging uga jeneng file, path menyang aplikasi sing bisa dieksekusi, apa sing dingerteni Windows ("Prosesor Perintah Windows"), pengenal. wong tuwa proses, baris printah wong tuwa, sing ngluncurake cangkang cmd, uga jeneng file asli saka proses induk. Kabeh ing sak panggonan, pungkasanipun!
Saka log Sysmon, kita bisa nyimpulake yen kanthi kemungkinan dhuwur, baris perintah sing curiga sing kita deleng ing log "mentah" ora minangka asil kerja normal karyawan. Nanging, iki digawe dening proses kaya C2 - wmiexec, kaya sing wis dakcritakake sadurunge - lan langsung ditindakake dening proses layanan WMI (WmiPrvSe). Saiki kita duwe indikasi manawa panyerang remot utawa wong njero lagi nyoba infrastruktur perusahaan.
Ngenalke Get-Sysmonlogs
Mesthine apik banget nalika Sysmon nempatake log ing sak panggonan. Nanging bisa uga luwih apik yen kita bisa ngakses kolom log individu kanthi program - contone, liwat perintah PowerShell. Ing kasus iki, sampeyan bisa nulis skrip PowerShell cilik sing bakal ngotomatisasi panelusuran kanggo ancaman potensial!
Aku ora pisanan duwe gagasan kuwi. Lan apik yen ing sawetara postingan forum lan GitHub
Titik penting pisanan yaiku kemampuan tim
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Yen sampeyan pengin nyoba printah dhewe, kanthi nampilake isi ing unsur pisanan saka $event array, $events[0].Pesen, output bisa dadi seri saka strings teks karo format prasaja banget: jeneng saka kolom Sysmon, titik loro, lan banjur nilai dhewe.
Hore! Outputing Sysmon log menyang format JSON-siap
Apa sampeyan mikir bab sing padha karo aku? Kanthi gaweyan liyane, sampeyan bisa ngowahi output menyang string format JSON lan banjur mbukak langsung menyang obyek PS nggunakake printah kuat
Aku bakal nuduhake kode PowerShell kanggo konversi - prasaja banget - ing bagean sabanjure. Saiki, ayo ndeleng apa sing bisa ditindakake dening prentah anyar sing diarani get-sysmonlogs, sing wis diinstal minangka modul PS.
Tinimbang nyilem jero menyang analisis log Sysmon liwat antarmuka log acara sing ora trep, kita bisa kanthi gampang nggoleki kegiatan tambahan langsung saka sesi PowerShell, uga nggunakake printah PS.
Dhaptar cangkang cmd sing diluncurake liwat WMI. Analisis Ancaman babagan Murah karo Tim Get-Sysmonlogs Kita
Apik banget! Aku nggawe alat kanggo polling log Sysmon kaya-kaya database. Ing artikel kita babagan
Sysmon lan analisis grafik
Ayo mundur lan mikir babagan apa sing wis digawe. Intine, saiki kita duwe database acara Windows sing bisa diakses liwat PowerShell. Kaya sing dakcritakake sadurunge, ana sambungan utawa hubungan antarane cathetan - liwat ParentProcessId - supaya hierarki proses lengkap bisa dipikolehi.
Yen sampeyan wis maca seri
Nanging kanthi printah Get-Sysmonlogs lan struktur data tambahan sing bakal kita deleng ing teks kasebut (mesthi wae grafik), kita duwe cara praktis kanggo ndeteksi ancaman - sing mung mbutuhake telusuran vertex sing bener.
Kaya biasane karo proyek blog DYI, luwih akeh sampeyan ngupayakake nganalisa rincian ancaman kanthi skala cilik, luwih akeh sampeyan bakal ngerti kepiye kompleks deteksi ancaman ing tingkat perusahaan. Lan kesadaran iki arang banget titik penting.
Kita bakal nemoni komplikasi sing menarik pisanan ing bagean kapindho artikel kasebut, ing ngendi kita bakal miwiti nyambungake acara Sysmon menyang struktur sing luwih rumit.
Source: www.habr.com