რა სასარგებლო ნივთების ამოღება შეიძლება Windows-ზე დაფუძნებული სამუშაო სადგურის ჟურნალებიდან?

მომხმარებლის სამუშაო სადგური ინფრასტრუქტურის ყველაზე დაუცველი წერტილია ინფორმაციის უსაფრთხოების თვალსაზრისით. მომხმარებლებმა შეიძლება მიიღონ წერილი სამუშაო ელფოსტაზე, რომელიც, როგორც ჩანს, არის უსაფრთხო წყაროდან, მაგრამ ინფიცირებული საიტის ბმულით. შესაძლოა ვინმემ ჩამოტვირთოს სამუშაოსთვის გამოსადეგი პროგრამა უცნობი ადგილიდან. დიახ, თქვენ შეგიძლიათ მოიფიქროთ ათობით შემთხვევა იმის შესახებ, თუ როგორ შეიძლება მავნე პროგრამამ შეაღწიოს შიდა კორპორატიულ რესურსებში მომხმარებლების მეშვეობით. ამიტომ, სამუშაო სადგურები დიდ ყურადღებას მოითხოვს და ამ სტატიაში ჩვენ გეტყვით, სად და რა ღონისძიებები უნდა ჩატარდეს თავდასხმების მონიტორინგისთვის.

შეტევის ადრეულ ეტაპზე გამოსავლენად, WIndows-ს აქვს სამი სასარგებლო მოვლენის წყარო: უსაფრთხოების მოვლენის ჟურნალი, სისტემის მონიტორინგის ჟურნალი და Power Shell ჟურნალი.

უსაფრთხოების ღონისძიების ჟურნალი

ეს არის სისტემის უსაფრთხოების ჟურნალების შენახვის მთავარი ადგილი. ეს მოიცავს მომხმარებლის შესვლის/გასვლის მოვლენებს, ობიექტებზე წვდომას, პოლიტიკის ცვლილებებს და უსაფრთხოებასთან დაკავშირებულ სხვა აქტივობებს. რა თქმა უნდა, თუ შესაბამისი პოლიტიკა არის კონფიგურირებული.

მომხმარებელთა და ჯგუფების აღრიცხვა (მოვლენები 4798 და 4799). თავდასხმის დასაწყისშივე, მავნე პროგრამა ხშირად ეძებს ადგილობრივ მომხმარებელთა ანგარიშებს და ადგილობრივ ჯგუფებს სამუშაო სადგურზე, რათა მოძებნოს რწმუნებათა სიგელები მისი ჩრდილოვანი გარიგებებისთვის. ეს მოვლენები ხელს შეუწყობს მავნე კოდის აღმოჩენას, სანამ ის გადავა და, შეგროვებული მონაცემების გამოყენებით, სხვა სისტემებზე გავრცელდება.

ლოკალური ანგარიშის შექმნა და ცვლილებები ადგილობრივ ჯგუფებში (მოვლენები 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 და 5377). შეტევა ასევე შეიძლება დაიწყოს, მაგალითად, ადგილობრივი ადმინისტრატორების ჯგუფში ახალი მომხმარებლის დამატებით.

შესვლის მცდელობები ლოკალური ანგარიშით (მოვლენა 4624). პატივცემული მომხმარებლები შედიან დომენის ანგარიშით და ლოკალური ანგარიშის ქვეშ შესვლის იდენტიფიცირება შეიძლება ნიშნავდეს თავდასხმის დაწყებას. ღონისძიება 4624 ასევე მოიცავს შესვლას დომენის ანგარიშის ქვეშ, ასე რომ, მოვლენების დამუშავებისას, თქვენ უნდა გაფილტროთ მოვლენები, სადაც დომენი განსხვავდება სამუშაო სადგურის სახელისგან.

მითითებული ანგარიშით შესვლის მცდელობა (მოვლენა 4648). ეს ხდება მაშინ, როდესაც პროცესი მიმდინარეობს "გაშვების როგორც" რეჟიმში. ეს არ უნდა მოხდეს სისტემების ნორმალური მუშაობის დროს, ამიტომ ასეთი მოვლენები უნდა კონტროლდებოდეს.

სამუშაო სადგურის ჩაკეტვა/განბლოკვა (მოვლენები 4800-4803). საეჭვო მოვლენების კატეგორიაში შედის ნებისმიერი ქმედება, რომელიც მოხდა ჩაკეტილ სამუშაო სადგურზე.

Firewall-ის კონფიგურაციის ცვლილებები (მოვლენები 4944-4958). ცხადია, ახალი პროგრამული უზრუნველყოფის ინსტალაციისას შეიძლება შეიცვალოს firewall-ის კონფიგურაციის პარამეტრები, რაც გამოიწვევს ცრუ დადებით შედეგებს. უმეტეს შემთხვევაში, ასეთი ცვლილებების კონტროლი არ არის საჭირო, მაგრამ მათ შესახებ ცოდნა ნამდვილად არ დააზარალებს.

Plug'n'play მოწყობილობების დაკავშირება (მოვლენა 6416 და მხოლოდ Windows 10-ისთვის). მნიშვნელოვანია, რომ თვალი ადევნოთ ამას, თუ მომხმარებლები ჩვეულებრივ არ აკავშირებენ ახალ მოწყობილობებს სამუშაო სადგურთან, მაგრამ მოულოდნელად ამას აკეთებენ.

Windows მოიცავს 9 აუდიტის კატეგორიას და 50 ქვეკატეგორიას დაზუსტებისთვის. ქვეკატეგორიების მინიმალური ნაკრები, რომელიც უნდა იყოს ჩართული პარამეტრებში:

შესვლა / ლოგოს გათიშვა

• Ქსელში შესვლა;
• Გამოსვლა;
• ანგარიშის დაბლოკვა;
• სხვა შესვლის/გასვლის ღონისძიებები.

ანგარიშის მართვის

• მომხმარებლის ანგარიშის მართვა;
• უსაფრთხოების ჯგუფის მენეჯმენტი.

პოლიტიკის შეცვლა

• აუდიტის პოლიტიკის ცვლილება;
• ავთენტიფიკაციის პოლიტიკის ცვლილება;
• ავტორიზაციის პოლიტიკის ცვლილება.

სისტემის მონიტორი (Sysmon)

Sysmon არის Windows-ში ჩაშენებული პროგრამა, რომელსაც შეუძლია მოვლენების ჩაწერა სისტემის ჟურნალში. როგორც წესი, თქვენ უნდა დააინსტალიროთ ცალკე.

ეს იგივე მოვლენები, პრინციპში, შეიძლება მოიძებნოს უსაფრთხოების ჟურნალში (სასურველი აუდიტის პოლიტიკის ჩართვით), მაგრამ Sysmon გვაწვდის უფრო დეტალებს. რა მოვლენების აღება შეიძლება Sysmon-დან?

პროცესის შექმნა (მოვლენის ID 1). სისტემის უსაფრთხოების ღონისძიებების ჟურნალს ასევე შეუძლია გითხრათ, როდის დაიწყო *.exe და აჩვენოს მისი სახელი და გაშვების გზა. მაგრამ Sysmon-ისგან განსხვავებით, ის ვერ შეძლებს აპლიკაციის ჰეშის ჩვენებას. მავნე პროგრამას შეიძლება ეწოდოს უვნებელი notepad.exe, მაგრამ ეს არის ჰეში, რომელიც გამოავლენს მას.

ქსელური კავშირები (მოვლენის ID 3). ცხადია, უამრავი ქსელური კავშირია და შეუძლებელია მათზე თვალყურის დევნება. მაგრამ მნიშვნელოვანია გავითვალისწინოთ, რომ Sysmon-ს, უსაფრთხოების ჟურნალისგან განსხვავებით, შეუძლია დააკავშიროს ქსელის კავშირი ProcessID და ProcessGUID ველებთან და აჩვენებს წყაროსა და დანიშნულების პორტს და IP მისამართებს.

ცვლილებები სისტემის რეესტრში (მოვლენის ID 12-14). ავტორუნში საკუთარი თავის დასამატებლად უმარტივესი გზაა რეესტრში დარეგისტრირება. უსაფრთხოების ჟურნალს შეუძლია ამის გაკეთება, მაგრამ Sysmon აჩვენებს, ვინ გააკეთა ცვლილებები, როდის, საიდან, პროცესის ID და წინა გასაღების მნიშვნელობა.

ფაილის შექმნა (მოვლენის ID 11). Sysmon, უსაფრთხოების ჟურნალისგან განსხვავებით, აჩვენებს არა მხოლოდ ფაილის ადგილმდებარეობას, არამედ მის სახელსაც. გასაგებია, რომ თქვენ არ შეგიძლიათ თვალყური ადევნოთ ყველაფერს, მაგრამ შეგიძლიათ შეამოწმოთ გარკვეული დირექტორიები.

და ახლა ის, რაც არ არის უსაფრთხოების ჟურნალის პოლიტიკაში, მაგრამ არის Sysmon-ში:

ფაილის შექმნის დროის შეცვლა (მოვლენის ID 2). ზოგიერთ მავნე პროგრამას შეუძლია გააფუჭოს ფაილის შექმნის თარიღი, რათა დამალოს იგი ახლახან შექმნილი ფაილების ანგარიშებიდან.

იტვირთება დრაივერები და დინამიური ბიბლიოთეკები (მოვლენის ID 6-7). DLL-ების და მოწყობილობის დრაივერების მეხსიერებაში ჩატვირთვის მონიტორინგი, ციფრული ხელმოწერისა და მისი მოქმედების შემოწმება.

შექმენით თემა მიმდინარე პროცესში (მოვლენის ID 8). თავდასხმის ერთ-ერთი ტიპი, რომელიც ასევე უნდა იყოს მონიტორინგი.

RawAccessRead მოვლენები (მოვლენის ID 9). დისკის წაკითხვის ოპერაციები "."-ის გამოყენებით. უმეტეს შემთხვევაში, ასეთი აქტივობა არანორმალურად უნდა ჩაითვალოს.

შექმენით დასახელებული ფაილის ნაკადი (მოვლენის ID 15). მოვლენა აღირიცხება, როდესაც იქმნება დასახელებული ფაილის ნაკადი, რომელიც ასხივებს მოვლენებს ფაილის შიგთავსის ჰეშით.

დასახელებული მილის და კავშირის შექმნა (მოვლენის ID 17-18). მავნე კოდის თვალყურის დევნება, რომელიც დაუკავშირდება სხვა კომპონენტებს დასახელებული მილის მეშვეობით.

WMI აქტივობა (მოვლენის ID 19). WMI პროტოკოლით სისტემაში წვდომისას წარმოქმნილი მოვლენების რეგისტრაცია.

თავად Sysmon-ის დასაცავად, თქვენ უნდა აკონტროლოთ მოვლენები ID 4-ით (Sysmon გაჩერება და გაშვება) და ID 16 (Sysmon-ის კონფიგურაციის ცვლილებები).

Power Shell ჟურნალები

Power Shell არის ძლიერი ინსტრუმენტი Windows-ის ინფრასტრუქტურის მართვისთვის, ამიტომ დიდია შანსი, რომ თავდამსხმელმა აირჩიოს იგი. არსებობს ორი წყარო, რომელიც შეგიძლიათ გამოიყენოთ Power Shell-ის მოვლენის მონაცემების მისაღებად: Windows PowerShell ჟურნალი და Microsoft-WindowsPowerShell/ოპერაციული ჟურნალი.

Windows PowerShell ჟურნალი

მონაცემთა პროვაიდერი ჩაიტვირთა (მოვლენის ID 600). PowerShell პროვაიდერები არის პროგრამები, რომლებიც უზრუნველყოფენ მონაცემთა წყაროს PowerShell-ისთვის სანახავად და სამართავად. მაგალითად, ჩაშენებული პროვაიდერები შეიძლება იყოს Windows გარემოს ცვლადები ან სისტემის რეესტრი. ახალი მომწოდებლების გაჩენის მონიტორინგი უნდა მოხდეს, რათა დროულად გამოვლინდეს მავნე მოქმედება. მაგალითად, თუ ხედავთ, რომ WSMan ჩნდება პროვაიდერებს შორის, მაშინ დაიწყო დისტანციური PowerShell სესია.

Microsoft-WindowsPowerShell / ოპერატიული ჟურნალი (ან MicrosoftWindows-PowerShellCore / ოპერატიული PowerShell 6-ში)

მოდულის აღრიცხვა (მოვლენის ID 4103). მოვლენები ინახავს ინფორმაციას თითოეული შესრულებული ბრძანებისა და იმ პარამეტრების შესახებ, რომლითაც იგი გამოიძახეს.

სკრიპტის დაბლოკვის ჟურნალი (მოვლენის ID 4104). სკრიპტის დაბლოკვის ჟურნალი აჩვენებს PowerShell კოდის ყველა ბლოკს, რომელიც შესრულებულია. მაშინაც კი, თუ თავდამსხმელი შეეცდება ბრძანების დამალვას, ამ მოვლენის ტიპი აჩვენებს PowerShell ბრძანებას, რომელიც რეალურად იყო შესრულებული. ამ ღონისძიების ტიპს ასევე შეუძლია დაარეგისტრიროს რამდენიმე დაბალი დონის API ზარები, რომლებიც კეთდება, ეს მოვლენები ჩვეულებრივ ჩაიწერება როგორც Verbose, მაგრამ თუ საეჭვო ბრძანება ან სკრიპტი გამოიყენება კოდის ბლოკში, ის დარეგისტრირებული იქნება გაფრთხილების სიმძიმის სახით.

გთხოვთ გაითვალისწინოთ, რომ მას შემდეგ რაც ინსტრუმენტი იქნება კონფიგურირებული ამ მოვლენების შესაგროვებლად და გასაანალიზებლად, საჭირო იქნება დამატებითი გამართვის დრო ცრუ პოზიტივის რაოდენობის შესამცირებლად.

გვითხარით კომენტარებში რა ჟურნალებს აგროვებთ ინფორმაციის უსაფრთხოების აუდიტისთვის და რა ინსტრუმენტებს იყენებთ ამისთვის. ჩვენი ფოკუსის ერთ-ერთი სფეროა ინფორმაციული უსაფრთხოების ღონისძიებების აუდიტის გადაწყვეტილებები. მორების შეგროვებისა და ანალიზის პრობლემის გადასაჭრელად, შეგვიძლია შემოგთავაზოთ უფრო დეტალურად დათვალიერება Quest InTrust, რომელსაც შეუძლია შეკუმშოს შენახული მონაცემები 20:1 თანაფარდობით და მის ერთ დაინსტალირებულ ინსტალაციას შეუძლია წამში 60000-მდე მოვლენის დამუშავება 10000 წყაროდან.

წყარო: www.habr.com