Пайдаланушының жұмыс станциясы ақпараттық қауіпсіздік тұрғысынан инфрақұрылымның ең осал жері болып табылады. Пайдаланушылар өздерінің жұмыс электрондық поштасына қауіпсіз көзден келген, бірақ вирус жұққан сайтқа сілтемесі бар хат ала алады. Мүмкін біреу жұмыс үшін пайдалы қызметтік бағдарламаны белгісіз жерден жүктеп алуы мүмкін. Иә, зиянды бағдарламаның пайдаланушылар арқылы ішкі корпоративтік ресурстарға енуі туралы ондаған жағдайларды ұсына аласыз. Сондықтан жұмыс станциялары көбірек назар аударуды қажет етеді және осы мақалада біз сізге шабуылдарды бақылау үшін қайда және қандай оқиғаларды қабылдау керектігін айтамыз.
Ең ерте ықтимал кезеңде шабуылды анықтау үшін WIndows жүйесінде үш пайдалы оқиға көзі бар: Қауіпсіздік оқиғаларының журналы, Жүйені бақылау журналы және Power Shell журналдары.
Қауіпсіздік оқиғаларының журналы
Бұл жүйе қауіпсіздік журналдары үшін негізгі сақтау орны. Бұған пайдаланушының кіру/шығу оқиғалары, нысандарға кіру, саясатты өзгерту және қауіпсіздікке қатысты басқа әрекеттер кіреді. Әрине, егер сәйкес саясат конфигурацияланса.
Пайдаланушылар мен топтардың тізімі (4798 және 4799 оқиғалары). Шабуылдың ең басында зиянды бағдарлама өзінің көлеңкелі әрекеттері үшін тіркелгі деректерін табу үшін жұмыс станциясындағы жергілікті пайдаланушы тіркелгілері мен жергілікті топтар арқылы жиі іздейді. Бұл оқиғалар зиянды кодты қозғалмас бұрын анықтауға көмектеседі және жиналған деректерді пайдалана отырып, басқа жүйелерге таралады.
Жергілікті шотты құру және жергілікті топтардағы өзгерістер (4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 және 5377 оқиғалары). Сондай-ақ шабуыл, мысалы, жергілікті әкімшілер тобына жаңа пайдаланушыны қосу арқылы басталуы мүмкін.
Жергілікті тіркелгімен кіру әрекеттері (4624 оқиғасы). Құрметті пайдаланушылар домен тіркелгісімен жүйеге кіреді және жергілікті тіркелгі астындағы логинді анықтау шабуылдың басталуын білдіруі мүмкін. 4624 оқиғасы домен тіркелгісінің астындағы логиндерді де қамтиды, сондықтан оқиғаларды өңдеу кезінде домен жұмыс станциясының атынан басқаша болатын оқиғаларды сүзгілеу керек.
Көрсетілген тіркелгімен кіру әрекеті (4648-оқиға). Бұл процесс «басқаша іске қосу» режимінде іске қосылғанда орын алады. Бұл жүйелердің қалыпты жұмысы кезінде болмауы керек, сондықтан мұндай оқиғаларды бақылау қажет.
Жұмыс станциясын құлыптау/құлпын ашу (4800-4803 оқиғалары). Күдікті оқиғалар санатына құлыпталған жұмыс станциясында орын алған кез келген әрекеттер кіреді.
Брандмауэр конфигурациясының өзгерістері (4944-4958 оқиғалары). Әлбетте, жаңа бағдарламалық құралды орнатқан кезде брандмауэр конфигурациясының параметрлері өзгеруі мүмкін, бұл жалған позитивтерге әкеледі. Көп жағдайда мұндай өзгерістерді бақылаудың қажеті жоқ, бірақ олар туралы білу зиян тигізбейді.
Plug'n'play құрылғыларын қосу (6416 оқиғасы және тек WIndows 10 үшін). Пайдаланушылар әдетте жаңа құрылғыларды жұмыс станциясына қоспаса, бірақ кенеттен қосылса, мұны қадағалау маңызды.
Windows жүйесінде дәл реттеу үшін 9 аудит санаттары мен 50 ішкі санаттар бар. Параметрлерде қосылатын ішкі санаттардың ең аз жинағы:
Кіру / Тіркеу
- Кіру;
- Шығу;
- Есептік жазбаны құлыптау;
- Басқа кіру/шығу оқиғалары.
Есептік жазбаны басқару
- Пайдаланушы тіркелгісін басқару;
- Қауіпсіздік тобын басқару.
Саясатты өзгерту
- Аудит саясатын өзгерту;
- Аутентификация саясатын өзгерту;
- Авторизация саясатын өзгерту.
Жүйе мониторы (Sysmon)
Sysmon - жүйелік журналда оқиғаларды жаза алатын Windows жүйесіне енгізілген утилита. Әдетте оны бөлек орнату керек.
Дәл осы оқиғаларды, негізінен, қауіпсіздік журналында табуға болады (қажетті аудит саясатын қосу арқылы), бірақ Sysmon толығырақ мәлімет береді. Sysmon-дан қандай оқиғаларды алуға болады?
Процесті құру (оқиға идентификаторы 1). Жүйелік қауіпсіздік оқиғаларының журналы сізге *.exe файлының қашан басталғанын айтып, тіпті оның атын және іске қосу жолын көрсете алады. Бірақ Sysmon-дан айырмашылығы, ол қолданба хэшін көрсете алмайды. Зиянды бағдарламалық құралды тіпті зиянсыз notepad.exe деп атауға болады, бірақ оны жарыққа шығаратын хэш.
Желі қосылымдары (оқиға идентификаторы 3). Әлбетте, желілік қосылымдар өте көп және олардың барлығын қадағалау мүмкін емес. Бірақ Sysmon, Қауіпсіздік журналынан айырмашылығы, желілік қосылымды ProcessID және ProcessGUID өрістеріне байланыстыра алатынын және көздің және тағайындалған жердің порты мен IP мекенжайларын көрсететінін ескеру маңызды.
Жүйе тізіліміндегі өзгерістер (оқиға идентификаторы 12-14). Автоматты іске қосудың ең оңай жолы - тізілімде тіркелу. Қауіпсіздік журналы мұны істей алады, бірақ Sysmon өзгертулерді кім жасағанын, қашан, қайдан, процесс идентификаторын және алдыңғы кілт мәнін көрсетеді.
Файл жасау (оқиға идентификаторы 11). Sysmon қауіпсіздік журналынан айырмашылығы файлдың орнын ғана емес, оның атын да көрсетеді. Барлығын қадағалай алмайтыныңыз анық, бірақ белгілі бір каталогтарды тексеруге болады.
Енді Қауіпсіздік журналының саясаттарында жоқ, бірақ Sysmon ішінде:
Файлды жасау уақытын өзгерту (оқиға идентификаторы 2). Кейбір зиянды бағдарламалар оны жақында жасалған файлдардың есептерінен жасыру үшін оны жасау күнін бұрмалауы мүмкін.
Драйверлер мен динамикалық кітапханалар жүктелуде (оқиға идентификаторлары 6-7). DLL және құрылғы драйверлерінің жадқа жүктелуін бақылау, ЭЦҚ мен оның жарамдылығын тексеру.
Жұмыс істеп тұрған процесте ағын жасаңыз (оқиға идентификаторы 8). Сондай-ақ бақылауды қажет ететін шабуылдың бір түрі.
RawAccessRead оқиғалары (оқиға идентификаторы 9). «.» көмегімен дискіні оқу әрекеттері. Жағдайлардың басым көпшілігінде мұндай әрекетті қалыпты емес деп санау керек.
Атаулы файл ағынын жасаңыз (оқиға идентификаторы 15). Оқиға файл мазмұнының хэшімен оқиғаларды шығаратын атаулы файл ағыны жасалған кезде журналға жазылады.
Атаулы құбыр және қосылым жасау (оқиға идентификаторы 17-18). Басқа құрамдастармен аталған құбыр арқылы байланысатын зиянды кодты қадағалау.
WMI әрекеті (оқиға идентификаторы 19). WMI хаттамасы арқылы жүйеге кіру кезінде пайда болатын оқиғаларды тіркеу.
Sysmon өзін қорғау үшін оқиғаларды ID 4 (Sysmon тоқтауы және іске қосылуы) және ID 16 (Sysmon конфигурациясының өзгерістері) арқылы бақылау керек.
Power Shell журналдары
Power Shell — Windows инфрақұрылымын басқаруға арналған қуатты құрал, сондықтан шабуылдаушы оны таңдау мүмкіндігі жоғары. Power Shell оқиғасының деректерін алу үшін пайдалануға болатын екі көз бар: Windows PowerShell журналы және Microsoft-WindowsPowerShell/Операциялық журнал.
Windows PowerShell журналы
Деректер провайдері жүктелді (оқиға идентификаторы 600). PowerShell провайдерлері PowerShell үшін көру және басқару үшін деректер көзін қамтамасыз ететін бағдарламалар. Мысалы, кірістірілген провайдерлер Windows ортасының айнымалы мәндері немесе жүйелік тізілім болуы мүмкін. Зиянды әрекетті уақытында анықтау үшін жаңа жеткізушілердің пайда болуын бақылау қажет. Мысалы, провайдерлер арасында WSMan пайда болғанын көрсеңіз, қашықтағы PowerShell сеансы басталды.
Microsoft-WindowsPowerShell / Операциялық журнал (немесе MicrosoftWindows-PowerShellCore / PowerShell 6 жүйесінде операциялық)
Модуль журналы (оқиға идентификаторы 4103). Оқиғалар әрбір орындалған команда және ол шақырылған параметрлер туралы ақпаратты сақтайды.
Сценарийді блоктау журналы (оқиға идентификаторы 4104). Сценарийді блоктау журналы орындалған PowerShell кодының әрбір блогын көрсетеді. Шабуылдаушы пәрменді жасыруға әрекеттенсе де, бұл оқиға түрі іс жүзінде орындалған PowerShell пәрменін көрсетеді. Бұл оқиға түрі кейбір төмен деңгейлі API шақыруларын да тіркей алады, бұл оқиғалар әдетте нақты түрде жазылады, бірақ күдікті пәрмен немесе сценарий код блогында пайдаланылса, ол Ескерту қатаңдығы ретінде тіркеледі.
Құрал осы оқиғаларды жинау және талдау үшін конфигурацияланғаннан кейін жалған позитивтердің санын азайту үшін қосымша жөндеу уақыты қажет болатынын ескеріңіз.
Ақпараттық қауіпсіздік аудиті үшін қандай журналдарды жинайтыныңызды және ол үшін қандай құралдарды пайдаланатыныңызды түсініктемелерде айтыңыз. Біздің назар аударатын салалардың бірі - ақпараттық қауіпсіздік оқиғаларының аудитіне арналған шешімдер. Журналдарды жинау және талдау мәселесін шешу үшін біз мұқият қарауды ұсына аламыз , ол сақталған деректерді 20:1 қатынасымен қыса алады және оның бір орнатылған данасы 60000 10000 көзден секундына XNUMX XNUMX оқиғаға дейін өңдеуге қабілетті.
Ақпарат көзі: www.habr.com