ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಆಡಳಿತ > ವಿಂಡೋಸ್ ಆಧಾರಿತ ಕಾರ್ಯಸ್ಥಳದ ಲಾಗ್‌ಗಳಿಂದ ಯಾವ ಉಪಯುಕ್ತ ವಿಷಯಗಳನ್ನು ಹೊರತೆಗೆಯಬಹುದು?

ವಿಂಡೋಸ್ ಆಧಾರಿತ ಕಾರ್ಯಸ್ಥಳದ ಲಾಗ್‌ಗಳಿಂದ ಯಾವ ಉಪಯುಕ್ತ ವಿಷಯಗಳನ್ನು ಹೊರತೆಗೆಯಬಹುದು?

ಮಾಹಿತಿ ಭದ್ರತೆಯ ದೃಷ್ಟಿಯಿಂದ ಬಳಕೆದಾರರ ಕಾರ್ಯಸ್ಥಳವು ಮೂಲಸೌಕರ್ಯದ ಅತ್ಯಂತ ದುರ್ಬಲ ಬಿಂದುವಾಗಿದೆ. ಬಳಕೆದಾರರು ತಮ್ಮ ಕೆಲಸದ ಇಮೇಲ್‌ಗೆ ಸುರಕ್ಷಿತ ಮೂಲದಿಂದ ಬಂದ ಪತ್ರವನ್ನು ಸ್ವೀಕರಿಸಬಹುದು, ಆದರೆ ಸೋಂಕಿತ ಸೈಟ್‌ಗೆ ಲಿಂಕ್‌ನೊಂದಿಗೆ. ಬಹುಶಃ ಯಾರಾದರೂ ಅಜ್ಞಾತ ಸ್ಥಳದಿಂದ ಕೆಲಸಕ್ಕೆ ಉಪಯುಕ್ತವಾದ ಉಪಯುಕ್ತತೆಯನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡುತ್ತಾರೆ. ಹೌದು, ಮಾಲ್‌ವೇರ್‌ಗಳು ಬಳಕೆದಾರರ ಮೂಲಕ ಆಂತರಿಕ ಕಾರ್ಪೊರೇಟ್ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಹೇಗೆ ನುಸುಳಬಹುದು ಎಂಬುದರ ಕುರಿತು ನೀವು ಡಜನ್ಗಟ್ಟಲೆ ಪ್ರಕರಣಗಳೊಂದಿಗೆ ಬರಬಹುದು. ಆದ್ದರಿಂದ, ಕಾರ್ಯಸ್ಥಳಗಳಿಗೆ ಹೆಚ್ಚಿನ ಗಮನ ಬೇಕು, ಮತ್ತು ಈ ಲೇಖನದಲ್ಲಿ ದಾಳಿಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು ಎಲ್ಲಿ ಮತ್ತು ಯಾವ ಘಟನೆಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳಬೇಕೆಂದು ನಾವು ನಿಮಗೆ ತಿಳಿಸುತ್ತೇವೆ.

ವಿಂಡೋಸ್ ಆಧಾರಿತ ಕಾರ್ಯಸ್ಥಳದ ಲಾಗ್‌ಗಳಿಂದ ಯಾವ ಉಪಯುಕ್ತ ವಿಷಯಗಳನ್ನು ಹೊರತೆಗೆಯಬಹುದು?

ಆಕ್ರಮಣವನ್ನು ಆರಂಭಿಕ ಹಂತದಲ್ಲಿ ಪತ್ತೆಹಚ್ಚಲು, ವಿಂಡೋಸ್ ಮೂರು ಉಪಯುಕ್ತ ಈವೆಂಟ್ ಮೂಲಗಳನ್ನು ಹೊಂದಿದೆ: ಭದ್ರತಾ ಈವೆಂಟ್ ಲಾಗ್, ಸಿಸ್ಟಮ್ ಮಾನಿಟರಿಂಗ್ ಲಾಗ್ ಮತ್ತು ಪವರ್ ಶೆಲ್ ಲಾಗ್‌ಗಳು.

ಭದ್ರತಾ ಈವೆಂಟ್ ಲಾಗ್

ಇದು ಸಿಸ್ಟಮ್ ಸೆಕ್ಯುರಿಟಿ ಲಾಗ್‌ಗಳ ಮುಖ್ಯ ಶೇಖರಣಾ ಸ್ಥಳವಾಗಿದೆ. ಇದು ಬಳಕೆದಾರರ ಲಾಗಿನ್/ಲಾಗ್‌ಔಟ್, ವಸ್ತುಗಳಿಗೆ ಪ್ರವೇಶ, ನೀತಿ ಬದಲಾವಣೆಗಳು ಮತ್ತು ಇತರ ಭದ್ರತೆ-ಸಂಬಂಧಿತ ಚಟುವಟಿಕೆಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ. ಸಹಜವಾಗಿ, ಸೂಕ್ತವಾದ ನೀತಿಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿದ್ದರೆ.

ವಿಂಡೋಸ್ ಆಧಾರಿತ ಕಾರ್ಯಸ್ಥಳದ ಲಾಗ್‌ಗಳಿಂದ ಯಾವ ಉಪಯುಕ್ತ ವಿಷಯಗಳನ್ನು ಹೊರತೆಗೆಯಬಹುದು?

ಬಳಕೆದಾರರು ಮತ್ತು ಗುಂಪುಗಳ ಎಣಿಕೆ (ಈವೆಂಟ್‌ಗಳು 4798 ಮತ್ತು 4799). ಆಕ್ರಮಣದ ಪ್ರಾರಂಭದಲ್ಲಿ, ಮಾಲ್‌ವೇರ್ ತನ್ನ ನೆರಳಿನ ವ್ಯವಹಾರಗಳಿಗೆ ರುಜುವಾತುಗಳನ್ನು ಹುಡುಕಲು ಕಾರ್ಯಸ್ಥಳದಲ್ಲಿ ಸ್ಥಳೀಯ ಬಳಕೆದಾರ ಖಾತೆಗಳು ಮತ್ತು ಸ್ಥಳೀಯ ಗುಂಪುಗಳ ಮೂಲಕ ಹುಡುಕುತ್ತದೆ. ಈ ಘಟನೆಗಳು ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಚಲಿಸುವ ಮೊದಲು ಪತ್ತೆಹಚ್ಚಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ ಮತ್ತು ಸಂಗ್ರಹಿಸಿದ ಡೇಟಾವನ್ನು ಬಳಸಿಕೊಂಡು ಇತರ ಸಿಸ್ಟಮ್‌ಗಳಿಗೆ ಹರಡುತ್ತದೆ.

ಸ್ಥಳೀಯ ಖಾತೆಯ ರಚನೆ ಮತ್ತು ಸ್ಥಳೀಯ ಗುಂಪುಗಳಲ್ಲಿನ ಬದಲಾವಣೆಗಳು (ಈವೆಂಟ್‌ಗಳು 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 ಮತ್ತು 5377). ದಾಳಿಯನ್ನು ಪ್ರಾರಂಭಿಸಬಹುದು, ಉದಾಹರಣೆಗೆ, ಸ್ಥಳೀಯ ನಿರ್ವಾಹಕರ ಗುಂಪಿಗೆ ಹೊಸ ಬಳಕೆದಾರರನ್ನು ಸೇರಿಸುವ ಮೂಲಕ.

ಸ್ಥಳೀಯ ಖಾತೆಯೊಂದಿಗೆ ಲಾಗಿನ್ ಪ್ರಯತ್ನಗಳು (ಈವೆಂಟ್ 4624). ಗೌರವಾನ್ವಿತ ಬಳಕೆದಾರರು ಡೊಮೇನ್ ಖಾತೆಯೊಂದಿಗೆ ಲಾಗ್ ಇನ್ ಮಾಡುತ್ತಾರೆ ಮತ್ತು ಸ್ಥಳೀಯ ಖಾತೆಯ ಅಡಿಯಲ್ಲಿ ಲಾಗಿನ್ ಅನ್ನು ಗುರುತಿಸುವುದು ದಾಳಿಯ ಪ್ರಾರಂಭವನ್ನು ಅರ್ಥೈಸಬಲ್ಲದು. ಈವೆಂಟ್ 4624 ಡೊಮೇನ್ ಖಾತೆಯ ಅಡಿಯಲ್ಲಿ ಲಾಗಿನ್‌ಗಳನ್ನು ಸಹ ಒಳಗೊಂಡಿದೆ, ಆದ್ದರಿಂದ ಈವೆಂಟ್‌ಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ, ಡೊಮೇನ್ ವರ್ಕ್‌ಸ್ಟೇಷನ್ ಹೆಸರಿನಿಂದ ಭಿನ್ನವಾಗಿರುವ ಈವೆಂಟ್‌ಗಳನ್ನು ನೀವು ಫಿಲ್ಟರ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ.

ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಖಾತೆಯೊಂದಿಗೆ ಲಾಗ್ ಇನ್ ಮಾಡುವ ಪ್ರಯತ್ನ (ಈವೆಂಟ್ 4648). ಪ್ರಕ್ರಿಯೆಯು "ರನ್ ಆಸ್" ಮೋಡ್‌ನಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವಾಗ ಇದು ಸಂಭವಿಸುತ್ತದೆ. ವ್ಯವಸ್ಥೆಗಳ ಸಾಮಾನ್ಯ ಕಾರ್ಯಾಚರಣೆಯ ಸಮಯದಲ್ಲಿ ಇದು ಸಂಭವಿಸಬಾರದು, ಆದ್ದರಿಂದ ಅಂತಹ ಘಟನೆಗಳನ್ನು ನಿಯಂತ್ರಿಸಬೇಕು.

ಕಾರ್ಯಸ್ಥಳವನ್ನು ಲಾಕ್ ಮಾಡುವುದು/ಅನ್ಲಾಕ್ ಮಾಡುವುದು (ಈವೆಂಟ್‌ಗಳು 4800-4803). ಅನುಮಾನಾಸ್ಪದ ಘಟನೆಗಳ ವರ್ಗವು ಲಾಕ್ ಮಾಡಿದ ಕಾರ್ಯಸ್ಥಳದಲ್ಲಿ ಸಂಭವಿಸಿದ ಯಾವುದೇ ಕ್ರಿಯೆಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ.

ಫೈರ್‌ವಾಲ್ ಕಾನ್ಫಿಗರೇಶನ್ ಬದಲಾವಣೆಗಳು (ಈವೆಂಟ್‌ಗಳು 4944-4958). ನಿಸ್ಸಂಶಯವಾಗಿ, ಹೊಸ ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ಸ್ಥಾಪಿಸುವಾಗ, ಫೈರ್‌ವಾಲ್ ಕಾನ್ಫಿಗರೇಶನ್ ಸೆಟ್ಟಿಂಗ್‌ಗಳು ಬದಲಾಗಬಹುದು, ಅದು ತಪ್ಪು ಧನಾತ್ಮಕತೆಯನ್ನು ಉಂಟುಮಾಡುತ್ತದೆ. ಹೆಚ್ಚಿನ ಸಂದರ್ಭಗಳಲ್ಲಿ, ಅಂತಹ ಬದಲಾವಣೆಗಳನ್ನು ನಿಯಂತ್ರಿಸುವ ಅಗತ್ಯವಿಲ್ಲ, ಆದರೆ ಅವುಗಳ ಬಗ್ಗೆ ತಿಳಿದುಕೊಳ್ಳಲು ಖಂಡಿತವಾಗಿಯೂ ನೋಯಿಸುವುದಿಲ್ಲ.

Plug'n'play ಸಾಧನಗಳನ್ನು ಸಂಪರ್ಕಿಸಲಾಗುತ್ತಿದೆ (ಈವೆಂಟ್ 6416 ಮತ್ತು WIndows 10 ಗಾಗಿ ಮಾತ್ರ). ಬಳಕೆದಾರರು ಸಾಮಾನ್ಯವಾಗಿ ಹೊಸ ಸಾಧನಗಳನ್ನು ವರ್ಕ್‌ಸ್ಟೇಷನ್‌ಗೆ ಸಂಪರ್ಕಿಸದಿದ್ದರೆ ಇದನ್ನು ಗಮನಿಸುವುದು ಮುಖ್ಯ, ಆದರೆ ಇದ್ದಕ್ಕಿದ್ದಂತೆ ಅವರು ಮಾಡುತ್ತಾರೆ.

ವಿಂಡೋಸ್ 9 ಆಡಿಟ್ ವಿಭಾಗಗಳು ಮತ್ತು ಉತ್ತಮ-ಶ್ರುತಿಗಾಗಿ 50 ಉಪವರ್ಗಗಳನ್ನು ಒಳಗೊಂಡಿದೆ. ಸೆಟ್ಟಿಂಗ್‌ಗಳಲ್ಲಿ ಸಕ್ರಿಯಗೊಳಿಸಬೇಕಾದ ಕನಿಷ್ಠ ಉಪವರ್ಗಗಳ ಸೆಟ್:

ಲೋಗನ್ / ಲೋಗಾಫ್

  • ಲಾಗಿನ್;
  • ಲಾಗ್ಆಫ್;
  • ಖಾತೆ ಬೀಗಮುದ್ರೆ;
  • ಇತರ ಲಾಗಿನ್/ಲಾಗಾಫ್ ಈವೆಂಟ್‌ಗಳು.

ಖಾತೆ ನಿರ್ವಹಣೆ

  • ಬಳಕೆದಾರ ಖಾತೆ ನಿರ್ವಹಣೆ;
  • ಭದ್ರತಾ ಗುಂಪು ನಿರ್ವಹಣೆ.

ನೀತಿ ಬದಲಾವಣೆ

  • ಆಡಿಟ್ ನೀತಿ ಬದಲಾವಣೆ;
  • ದೃಢೀಕರಣ ನೀತಿ ಬದಲಾವಣೆ;
  • ಅಧಿಕಾರ ನೀತಿ ಬದಲಾವಣೆ.

ಸಿಸ್ಟಮ್ ಮಾನಿಟರ್ (ಸಿಸ್ಮನ್)

ಸಿಸ್ಮನ್ ಎನ್ನುವುದು ವಿಂಡೋಸ್‌ನಲ್ಲಿ ನಿರ್ಮಿಸಲಾದ ಉಪಯುಕ್ತತೆಯಾಗಿದ್ದು ಅದು ಸಿಸ್ಟಮ್ ಲಾಗ್‌ನಲ್ಲಿ ಈವೆಂಟ್‌ಗಳನ್ನು ರೆಕಾರ್ಡ್ ಮಾಡಬಹುದು. ಸಾಮಾನ್ಯವಾಗಿ ನೀವು ಅದನ್ನು ಪ್ರತ್ಯೇಕವಾಗಿ ಸ್ಥಾಪಿಸಬೇಕಾಗಿದೆ.

ವಿಂಡೋಸ್ ಆಧಾರಿತ ಕಾರ್ಯಸ್ಥಳದ ಲಾಗ್‌ಗಳಿಂದ ಯಾವ ಉಪಯುಕ್ತ ವಿಷಯಗಳನ್ನು ಹೊರತೆಗೆಯಬಹುದು?

ಇದೇ ಘಟನೆಗಳನ್ನು ತಾತ್ವಿಕವಾಗಿ, ಭದ್ರತಾ ಲಾಗ್‌ನಲ್ಲಿ ಕಾಣಬಹುದು (ಅಪೇಕ್ಷಿತ ಆಡಿಟ್ ನೀತಿಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವ ಮೂಲಕ), ಆದರೆ Sysmon ಹೆಚ್ಚಿನ ವಿವರಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ. Sysmon ನಿಂದ ಯಾವ ಘಟನೆಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳಬಹುದು?

ಪ್ರಕ್ರಿಯೆ ರಚನೆ (ಈವೆಂಟ್ ID 1). ಸಿಸ್ಟಂ ಭದ್ರತಾ ಈವೆಂಟ್ ಲಾಗ್ ನಿಮಗೆ *.exe ಯಾವಾಗ ಪ್ರಾರಂಭವಾಯಿತು ಮತ್ತು ಅದರ ಹೆಸರು ಮತ್ತು ಉಡಾವಣಾ ಮಾರ್ಗವನ್ನು ಸಹ ತೋರಿಸುತ್ತದೆ. ಆದರೆ Sysmon ಗಿಂತ ಭಿನ್ನವಾಗಿ, ಇದು ಅಪ್ಲಿಕೇಶನ್ ಹ್ಯಾಶ್ ಅನ್ನು ತೋರಿಸಲು ಸಾಧ್ಯವಾಗುವುದಿಲ್ಲ. ದುರುದ್ದೇಶಪೂರಿತ ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ನಿರುಪದ್ರವ notepad.exe ಎಂದೂ ಕರೆಯಬಹುದು, ಆದರೆ ಹ್ಯಾಶ್ ಅದನ್ನು ಬೆಳಕಿಗೆ ತರುತ್ತದೆ.

ನೆಟ್‌ವರ್ಕ್ ಸಂಪರ್ಕಗಳು (ಈವೆಂಟ್ ಐಡಿ 3). ನಿಸ್ಸಂಶಯವಾಗಿ, ಬಹಳಷ್ಟು ನೆಟ್‌ವರ್ಕ್ ಸಂಪರ್ಕಗಳಿವೆ, ಮತ್ತು ಅವೆಲ್ಲವನ್ನೂ ಟ್ರ್ಯಾಕ್ ಮಾಡುವುದು ಅಸಾಧ್ಯ. ಆದರೆ Sysmon, ಸೆಕ್ಯುರಿಟಿ ಲಾಗ್‌ನಂತಲ್ಲದೆ, ProcessID ಮತ್ತು ProcessGUID ಕ್ಷೇತ್ರಗಳಿಗೆ ನೆಟ್‌ವರ್ಕ್ ಸಂಪರ್ಕವನ್ನು ಬಂಧಿಸಬಹುದು ಮತ್ತು ಮೂಲ ಮತ್ತು ಗಮ್ಯಸ್ಥಾನದ ಪೋರ್ಟ್ ಮತ್ತು IP ವಿಳಾಸಗಳನ್ನು ತೋರಿಸುತ್ತದೆ ಎಂದು ಪರಿಗಣಿಸುವುದು ಮುಖ್ಯವಾಗಿದೆ.

ಸಿಸ್ಟಮ್ ರಿಜಿಸ್ಟ್ರಿಯಲ್ಲಿ ಬದಲಾವಣೆಗಳು (ಈವೆಂಟ್ ಐಡಿ 12-14). ಆಟೋರನ್‌ಗೆ ನಿಮ್ಮನ್ನು ಸೇರಿಸಲು ಸುಲಭವಾದ ಮಾರ್ಗವೆಂದರೆ ನೋಂದಾವಣೆಯಲ್ಲಿ ನೋಂದಾಯಿಸುವುದು. ಭದ್ರತಾ ಲಾಗ್ ಇದನ್ನು ಮಾಡಬಹುದು, ಆದರೆ Sysmon ಯಾರು ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡಿದ್ದಾರೆ, ಯಾವಾಗ, ಎಲ್ಲಿಂದ, ಪ್ರಕ್ರಿಯೆ ID ಮತ್ತು ಹಿಂದಿನ ಪ್ರಮುಖ ಮೌಲ್ಯವನ್ನು ತೋರಿಸುತ್ತದೆ.

ಫೈಲ್ ರಚನೆ (ಈವೆಂಟ್ ID 11). ಸಿಸ್ಮನ್, ಸೆಕ್ಯುರಿಟಿ ಲಾಗ್‌ನಂತಲ್ಲದೆ, ಫೈಲ್‌ನ ಸ್ಥಳವನ್ನು ಮಾತ್ರವಲ್ಲದೆ ಅದರ ಹೆಸರನ್ನು ಸಹ ತೋರಿಸುತ್ತದೆ. ನೀವು ಎಲ್ಲವನ್ನೂ ಟ್ರ್ಯಾಕ್ ಮಾಡಲು ಸಾಧ್ಯವಿಲ್ಲ ಎಂಬುದು ಸ್ಪಷ್ಟವಾಗಿದೆ, ಆದರೆ ನೀವು ಕೆಲವು ಡೈರೆಕ್ಟರಿಗಳನ್ನು ಆಡಿಟ್ ಮಾಡಬಹುದು.

ಮತ್ತು ಈಗ ಸೆಕ್ಯುರಿಟಿ ಲಾಗ್ ನೀತಿಗಳಲ್ಲಿ ಏನಿಲ್ಲ, ಆದರೆ ಸಿಸ್ಮನ್‌ನಲ್ಲಿದೆ:

ಫೈಲ್ ರಚನೆಯ ಸಮಯದ ಬದಲಾವಣೆ (ಈವೆಂಟ್ ID 2). ಇತ್ತೀಚೆಗೆ ರಚಿಸಲಾದ ಫೈಲ್‌ಗಳ ವರದಿಗಳಿಂದ ಮರೆಮಾಡಲು ಕೆಲವು ಮಾಲ್‌ವೇರ್‌ಗಳು ಫೈಲ್‌ನ ರಚನೆಯ ದಿನಾಂಕವನ್ನು ವಂಚಿಸಬಹುದು.

ಡ್ರೈವರ್‌ಗಳು ಮತ್ತು ಡೈನಾಮಿಕ್ ಲೈಬ್ರರಿಗಳನ್ನು ಲೋಡ್ ಮಾಡಲಾಗುತ್ತಿದೆ (ಈವೆಂಟ್ ಐಡಿಗಳು 6-7). ಡಿಎಲ್‌ಎಲ್‌ಗಳು ಮತ್ತು ಡಿವೈಸ್ ಡ್ರೈವರ್‌ಗಳನ್ನು ಮೆಮೊರಿಗೆ ಲೋಡ್ ಮಾಡುವುದನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವುದು, ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ ಮತ್ತು ಅದರ ಸಿಂಧುತ್ವವನ್ನು ಪರಿಶೀಲಿಸುವುದು.

ಚಾಲನೆಯಲ್ಲಿರುವ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ ಥ್ರೆಡ್ ಅನ್ನು ರಚಿಸಿ (ಈವೆಂಟ್ ID 8). ಒಂದು ರೀತಿಯ ದಾಳಿಯನ್ನು ಸಹ ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಬೇಕಾಗುತ್ತದೆ.

RawAccessRead ಈವೆಂಟ್‌ಗಳು (ಈವೆಂಟ್ ID 9). "." ಬಳಸಿಕೊಂಡು ಡಿಸ್ಕ್ ಓದುವ ಕಾರ್ಯಾಚರಣೆಗಳು. ಹೆಚ್ಚಿನ ಸಂದರ್ಭಗಳಲ್ಲಿ, ಅಂತಹ ಚಟುವಟಿಕೆಯನ್ನು ಅಸಹಜವೆಂದು ಪರಿಗಣಿಸಬೇಕು.

ಹೆಸರಿಸಲಾದ ಫೈಲ್ ಸ್ಟ್ರೀಮ್ ಅನ್ನು ರಚಿಸಿ (ಈವೆಂಟ್ ID 15). ಫೈಲ್‌ನ ವಿಷಯಗಳ ಹ್ಯಾಶ್‌ನೊಂದಿಗೆ ಈವೆಂಟ್‌ಗಳನ್ನು ಹೊರಸೂಸುವ ಹೆಸರಿನ ಫೈಲ್ ಸ್ಟ್ರೀಮ್ ಅನ್ನು ರಚಿಸಿದಾಗ ಈವೆಂಟ್ ಅನ್ನು ಲಾಗ್ ಮಾಡಲಾಗುತ್ತದೆ.

ಹೆಸರಿನ ಪೈಪ್ ಮತ್ತು ಸಂಪರ್ಕವನ್ನು ರಚಿಸುವುದು (ಈವೆಂಟ್ ID 17-18). ಹೆಸರಿಸಲಾದ ಪೈಪ್ ಮೂಲಕ ಇತರ ಘಟಕಗಳೊಂದಿಗೆ ಸಂವಹನ ಮಾಡುವ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಟ್ರ್ಯಾಕ್ ಮಾಡುವುದು.

WMI ಚಟುವಟಿಕೆ (ಈವೆಂಟ್ ID 19). WMI ಪ್ರೋಟೋಕಾಲ್ ಮೂಲಕ ಸಿಸ್ಟಮ್ ಅನ್ನು ಪ್ರವೇಶಿಸುವಾಗ ಉತ್ಪತ್ತಿಯಾಗುವ ಈವೆಂಟ್‌ಗಳ ನೋಂದಣಿ.

Sysmon ಅನ್ನು ರಕ್ಷಿಸಲು, ನೀವು ID 4 (Sysmon ನಿಲ್ಲಿಸುವುದು ಮತ್ತು ಪ್ರಾರಂಭಿಸುವುದು) ಮತ್ತು ID 16 (Sysmon ಕಾನ್ಫಿಗರೇಶನ್ ಬದಲಾವಣೆಗಳು) ನೊಂದಿಗೆ ಈವೆಂಟ್‌ಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಬೇಕಾಗುತ್ತದೆ.

ಪವರ್ ಶೆಲ್ ದಾಖಲೆಗಳು

ಪವರ್ ಶೆಲ್ ವಿಂಡೋಸ್ ಮೂಲಸೌಕರ್ಯವನ್ನು ನಿರ್ವಹಿಸಲು ಪ್ರಬಲ ಸಾಧನವಾಗಿದೆ, ಆದ್ದರಿಂದ ಆಕ್ರಮಣಕಾರರು ಅದನ್ನು ಆಯ್ಕೆ ಮಾಡುವ ಸಾಧ್ಯತೆಗಳು ಹೆಚ್ಚು. ಪವರ್ ಶೆಲ್ ಈವೆಂಟ್ ಡೇಟಾವನ್ನು ಪಡೆಯಲು ನೀವು ಎರಡು ಮೂಲಗಳನ್ನು ಬಳಸಬಹುದು: Windows PowerShell ಲಾಗ್ ಮತ್ತು Microsoft-WindowsPowerShell/ಆಪರೇಷನಲ್ ಲಾಗ್.

ವಿಂಡೋಸ್ ಪವರ್‌ಶೆಲ್ ಲಾಗ್

ವಿಂಡೋಸ್ ಆಧಾರಿತ ಕಾರ್ಯಸ್ಥಳದ ಲಾಗ್‌ಗಳಿಂದ ಯಾವ ಉಪಯುಕ್ತ ವಿಷಯಗಳನ್ನು ಹೊರತೆಗೆಯಬಹುದು?

ಡೇಟಾ ಪೂರೈಕೆದಾರರನ್ನು ಲೋಡ್ ಮಾಡಲಾಗಿದೆ (ಈವೆಂಟ್ ಐಡಿ 600). PowerShell ಪೂರೈಕೆದಾರರು PowerShell ಅನ್ನು ವೀಕ್ಷಿಸಲು ಮತ್ತು ನಿರ್ವಹಿಸಲು ಡೇಟಾದ ಮೂಲವನ್ನು ಒದಗಿಸುವ ಕಾರ್ಯಕ್ರಮಗಳಾಗಿವೆ. ಉದಾಹರಣೆಗೆ, ಅಂತರ್ನಿರ್ಮಿತ ಪೂರೈಕೆದಾರರು ವಿಂಡೋಸ್ ಪರಿಸರ ವೇರಿಯಬಲ್‌ಗಳು ಅಥವಾ ಸಿಸ್ಟಮ್ ರಿಜಿಸ್ಟ್ರಿ ಆಗಿರಬಹುದು. ಸಮಯಕ್ಕೆ ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಹೊಸ ಪೂರೈಕೆದಾರರ ಹೊರಹೊಮ್ಮುವಿಕೆಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಬೇಕು. ಉದಾಹರಣೆಗೆ, ಪೂರೈಕೆದಾರರಲ್ಲಿ WSMan ಕಾಣಿಸಿಕೊಳ್ಳುವುದನ್ನು ನೀವು ನೋಡಿದರೆ, ರಿಮೋಟ್ PowerShell ಸೆಶನ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಲಾಗಿದೆ.

Microsoft-WindowsPowerShell / ಕಾರ್ಯಾಚರಣಾ ಲಾಗ್ (ಅಥವಾ MicrosoftWindows-PowerShellCore / PowerShell 6 ರಲ್ಲಿ ಕಾರ್ಯಾಚರಣೆ)

ವಿಂಡೋಸ್ ಆಧಾರಿತ ಕಾರ್ಯಸ್ಥಳದ ಲಾಗ್‌ಗಳಿಂದ ಯಾವ ಉಪಯುಕ್ತ ವಿಷಯಗಳನ್ನು ಹೊರತೆಗೆಯಬಹುದು?

ಮಾಡ್ಯೂಲ್ ಲಾಗಿಂಗ್ (ಈವೆಂಟ್ ಐಡಿ 4103). ಈವೆಂಟ್‌ಗಳು ಪ್ರತಿ ಕಾರ್ಯಗತಗೊಳಿಸಿದ ಆಜ್ಞೆ ಮತ್ತು ಅದನ್ನು ಕರೆಯುವ ನಿಯತಾಂಕಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸುತ್ತವೆ.

ಸ್ಕ್ರಿಪ್ಟ್ ನಿರ್ಬಂಧಿಸುವ ಲಾಗಿಂಗ್ (ಈವೆಂಟ್ ID 4104). ಸ್ಕ್ರಿಪ್ಟ್ ನಿರ್ಬಂಧಿಸುವ ಲಾಗಿಂಗ್ ಪವರ್‌ಶೆಲ್ ಕೋಡ್‌ನ ಪ್ರತಿ ಬ್ಲಾಕ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದನ್ನು ತೋರಿಸುತ್ತದೆ. ಆಕ್ರಮಣಕಾರರು ಆಜ್ಞೆಯನ್ನು ಮರೆಮಾಡಲು ಪ್ರಯತ್ನಿಸಿದರೂ ಸಹ, ಈ ಈವೆಂಟ್ ಪ್ರಕಾರವು ವಾಸ್ತವವಾಗಿ ಕಾರ್ಯಗತಗೊಳಿಸಿದ ಪವರ್‌ಶೆಲ್ ಆಜ್ಞೆಯನ್ನು ತೋರಿಸುತ್ತದೆ. ಈ ಈವೆಂಟ್ ಪ್ರಕಾರವು ಕೆಲವು ಕಡಿಮೆ-ಹಂತದ API ಕರೆಗಳನ್ನು ಸಹ ಲಾಗ್ ಮಾಡಬಹುದು, ಈ ಘಟನೆಗಳನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ವರ್ಬೋಸ್ ಎಂದು ದಾಖಲಿಸಲಾಗುತ್ತದೆ, ಆದರೆ ಕೋಡ್‌ನ ಬ್ಲಾಕ್‌ನಲ್ಲಿ ಅನುಮಾನಾಸ್ಪದ ಆಜ್ಞೆ ಅಥವಾ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಬಳಸಿದರೆ, ಅದನ್ನು ಎಚ್ಚರಿಕೆಯ ತೀವ್ರತೆಯಾಗಿ ಲಾಗ್ ಮಾಡಲಾಗುತ್ತದೆ.

ಈ ಈವೆಂಟ್‌ಗಳನ್ನು ಸಂಗ್ರಹಿಸಲು ಮತ್ತು ವಿಶ್ಲೇಷಿಸಲು ಉಪಕರಣವನ್ನು ಒಮ್ಮೆ ಕಾನ್ಫಿಗರ್ ಮಾಡಿದರೆ, ತಪ್ಪು ಧನಾತ್ಮಕ ಸಂಖ್ಯೆಯನ್ನು ಕಡಿಮೆ ಮಾಡಲು ಹೆಚ್ಚುವರಿ ಡೀಬಗ್ ಮಾಡುವ ಸಮಯ ಬೇಕಾಗುತ್ತದೆ ಎಂಬುದನ್ನು ದಯವಿಟ್ಟು ಗಮನಿಸಿ.

ಮಾಹಿತಿ ಭದ್ರತಾ ಲೆಕ್ಕಪರಿಶೋಧನೆಗಾಗಿ ನೀವು ಯಾವ ಲಾಗ್‌ಗಳನ್ನು ಸಂಗ್ರಹಿಸುತ್ತೀರಿ ಮತ್ತು ಇದಕ್ಕಾಗಿ ನೀವು ಯಾವ ಸಾಧನಗಳನ್ನು ಬಳಸುತ್ತೀರಿ ಎಂಬುದನ್ನು ಕಾಮೆಂಟ್‌ಗಳಲ್ಲಿ ನಮಗೆ ತಿಳಿಸಿ. ಮಾಹಿತಿ ಭದ್ರತಾ ಘಟನೆಗಳ ಲೆಕ್ಕಪರಿಶೋಧನೆಗೆ ಪರಿಹಾರಗಳು ನಮ್ಮ ಗಮನದ ಕ್ಷೇತ್ರಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ. ದಾಖಲೆಗಳನ್ನು ಸಂಗ್ರಹಿಸುವ ಮತ್ತು ವಿಶ್ಲೇಷಿಸುವ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲು, ನಾವು ಹತ್ತಿರದ ನೋಟವನ್ನು ತೆಗೆದುಕೊಳ್ಳಲು ಸಲಹೆ ನೀಡಬಹುದು ಕ್ವೆಸ್ಟ್ ಇನ್ಟ್ರಸ್ಟ್, ಇದು 20:1 ರ ಅನುಪಾತದೊಂದಿಗೆ ಸಂಗ್ರಹಿಸಲಾದ ಡೇಟಾವನ್ನು ಸಂಕುಚಿತಗೊಳಿಸಬಹುದು ಮತ್ತು ಅದರ ಒಂದು ಸ್ಥಾಪಿಸಲಾದ ನಿದರ್ಶನವು 60000 ಮೂಲಗಳಿಂದ ಪ್ರತಿ ಸೆಕೆಂಡಿಗೆ 10000 ಈವೆಂಟ್‌ಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲು ಸಮರ್ಥವಾಗಿದೆ.

ಮೂಲ: www.habr.com

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ