ಈ ಲೇಖನವು Sysmon ಬೆದರಿಕೆ ವಿಶ್ಲೇಷಣೆಯ ಸರಣಿಯ ಮೊದಲ ಭಾಗವಾಗಿದೆ. ಸರಣಿಯ ಎಲ್ಲಾ ಇತರ ಭಾಗಗಳು:
ಭಾಗ 1: ಸಿಸ್ಮನ್ ಲಾಗ್ ಅನಾಲಿಸಿಸ್ ಪರಿಚಯ (ನಾವು ಇಲ್ಲಿ ಇದ್ದೇವೆ)
ಭಾಗ 2: ಬೆದರಿಕೆಗಳನ್ನು ಗುರುತಿಸಲು Sysmon ಈವೆಂಟ್ ಡೇಟಾವನ್ನು ಬಳಸುವುದು
ಭಾಗ 3. ಗ್ರಾಫ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು Sysmon ಬೆದರಿಕೆಗಳ ಆಳವಾದ ವಿಶ್ಲೇಷಣೆ
ನೀವು ಮಾಹಿತಿ ಭದ್ರತೆಯಲ್ಲಿ ಕೆಲಸ ಮಾಡುತ್ತಿದ್ದರೆ, ನೀವು ಆಗಾಗ್ಗೆ ನಡೆಯುತ್ತಿರುವ ದಾಳಿಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಬೇಕು. ನೀವು ಈಗಾಗಲೇ ತರಬೇತಿ ಪಡೆದ ಕಣ್ಣನ್ನು ಹೊಂದಿದ್ದರೆ, "ಕಚ್ಚಾ" ಸಂಸ್ಕರಿಸದ ಲಾಗ್ಗಳಲ್ಲಿ ನೀವು ಪ್ರಮಾಣಿತವಲ್ಲದ ಚಟುವಟಿಕೆಯನ್ನು ನೋಡಬಹುದು - ಹೇಳಿ, ಪವರ್ಶೆಲ್ ಸ್ಕ್ರಿಪ್ಟ್ ಚಾಲನೆಯಲ್ಲಿದೆ ಅಥವಾ ವರ್ಡ್ ಫೈಲ್ನಂತೆ ನಟಿಸುವ VBS ಸ್ಕ್ರಿಪ್ಟ್ - ವಿಂಡೋಸ್ ಈವೆಂಟ್ ಲಾಗ್ನಲ್ಲಿ ಇತ್ತೀಚಿನ ಚಟುವಟಿಕೆಯ ಮೂಲಕ ಸರಳವಾಗಿ ಸ್ಕ್ರೋಲ್ ಮಾಡುವುದು. ಆದರೆ ಇದು ನಿಜವಾಗಿಯೂ ದೊಡ್ಡ ತಲೆನೋವು. ಅದೃಷ್ಟವಶಾತ್, ಮೈಕ್ರೋಸಾಫ್ಟ್ ಸಿಸ್ಮನ್ ಅನ್ನು ರಚಿಸಿದೆ, ಇದು ದಾಳಿಯ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಹೆಚ್ಚು ಸುಲಭಗೊಳಿಸುತ್ತದೆ.
Sysmon ಲಾಗ್ನಲ್ಲಿ ಪ್ರದರ್ಶಿಸಲಾದ ಬೆದರಿಕೆಗಳ ಹಿಂದಿನ ಮೂಲಭೂತ ವಿಚಾರಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಬಯಸುವಿರಾ? ನಮ್ಮ ಮಾರ್ಗದರ್ಶಿ ಡೌನ್ಲೋಡ್ ಮಾಡಿ ಮತ್ತು ಒಳಗಿನವರು ಇತರ ಉದ್ಯೋಗಿಗಳನ್ನು ಹೇಗೆ ರಹಸ್ಯವಾಗಿ ಗಮನಿಸಬಹುದು ಎಂಬುದನ್ನು ನೀವು ಅರಿತುಕೊಳ್ಳುತ್ತೀರಿ. ವಿಂಡೋಸ್ ಈವೆಂಟ್ ಲಾಗ್ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವ ಮುಖ್ಯ ಸಮಸ್ಯೆ ಪೋಷಕ ಪ್ರಕ್ರಿಯೆಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯ ಕೊರತೆ, ಅಂದರೆ. ಅದರಿಂದ ಪ್ರಕ್ರಿಯೆಗಳ ಕ್ರಮಾನುಗತವನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು ಅಸಾಧ್ಯ. ಮತ್ತೊಂದೆಡೆ, Sysmon ಲಾಗ್ ನಮೂದುಗಳು ಪೋಷಕ ಪ್ರಕ್ರಿಯೆ ID, ಅದರ ಹೆಸರು ಮತ್ತು ಪ್ರಾರಂಭಿಸಬೇಕಾದ ಕಮಾಂಡ್ ಲೈನ್ ಅನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ. ಧನ್ಯವಾದಗಳು, ಮೈಕ್ರೋಸಾಫ್ಟ್.
ನಮ್ಮ ಸರಣಿಯ ಮೊದಲ ಭಾಗದಲ್ಲಿ, Sysmon ನಿಂದ ಮೂಲಭೂತ ಮಾಹಿತಿಯೊಂದಿಗೆ ನೀವು ಏನು ಮಾಡಬಹುದು ಎಂಬುದನ್ನು ನಾವು ನೋಡುತ್ತೇವೆ. ಭಾಗ XNUMX ರಲ್ಲಿ, ಬೆದರಿಕೆ ಗ್ರಾಫ್ಗಳೆಂದು ಕರೆಯಲ್ಪಡುವ ಹೆಚ್ಚು ಸಂಕೀರ್ಣವಾದ ಅನುಸರಣೆ ರಚನೆಗಳನ್ನು ರಚಿಸಲು ನಾವು ಪೋಷಕ ಪ್ರಕ್ರಿಯೆಯ ಮಾಹಿತಿಯ ಸಂಪೂರ್ಣ ಪ್ರಯೋಜನವನ್ನು ಪಡೆದುಕೊಳ್ಳುತ್ತೇವೆ. ಮೂರನೇ ಭಾಗದಲ್ಲಿ, ಗ್ರಾಫ್ನ "ತೂಕ" ವನ್ನು ವಿಶ್ಲೇಷಿಸುವ ಮೂಲಕ ಅಸಾಮಾನ್ಯ ಚಟುವಟಿಕೆಯನ್ನು ಹುಡುಕಲು ಬೆದರಿಕೆ ಗ್ರಾಫ್ ಅನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುವ ಸರಳ ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ನಾವು ನೋಡುತ್ತೇವೆ. ಮತ್ತು ಕೊನೆಯಲ್ಲಿ, ನೀವು ಅಚ್ಚುಕಟ್ಟಾಗಿ (ಮತ್ತು ಅರ್ಥವಾಗುವ) ಸಂಭವನೀಯ ಬೆದರಿಕೆ ಪತ್ತೆ ವಿಧಾನದೊಂದಿಗೆ ಬಹುಮಾನ ಪಡೆಯುತ್ತೀರಿ.
ಭಾಗ 1: ಸಿಸ್ಮನ್ ಲಾಗ್ ಅನಾಲಿಸಿಸ್ ಪರಿಚಯ
ಈವೆಂಟ್ ಲಾಗ್ನ ಸಂಕೀರ್ಣತೆಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ನಿಮಗೆ ಯಾವುದು ಸಹಾಯ ಮಾಡುತ್ತದೆ? ಅಂತಿಮವಾಗಿ - SIEM. ಇದು ಘಟನೆಗಳನ್ನು ಸಾಮಾನ್ಯಗೊಳಿಸುತ್ತದೆ ಮತ್ತು ಅವುಗಳ ನಂತರದ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಸರಳಗೊಳಿಸುತ್ತದೆ. ಆದರೆ ನಾವು ಅಷ್ಟು ದೂರ ಹೋಗಬೇಕಾಗಿಲ್ಲ, ಕನಿಷ್ಠ ಮೊದಲಿಗಾದರೂ. ಆರಂಭದಲ್ಲಿ, SIEM ನ ತತ್ವಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು, ಅದ್ಭುತವಾದ ಉಚಿತ Sysmon ಉಪಯುಕ್ತತೆಯನ್ನು ಪ್ರಯತ್ನಿಸಲು ಸಾಕು. ಮತ್ತು ಅವಳು ಕೆಲಸ ಮಾಡಲು ಆಶ್ಚರ್ಯಕರವಾಗಿ ಸುಲಭ. ಇದನ್ನು ಮುಂದುವರಿಸಿ, ಮೈಕ್ರೋಸಾಫ್ಟ್!
Sysmon ಯಾವ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಹೊಂದಿದೆ?
ಸಂಕ್ಷಿಪ್ತವಾಗಿ - ಪ್ರಕ್ರಿಯೆಗಳ ಬಗ್ಗೆ ಉಪಯುಕ್ತ ಮತ್ತು ಓದಬಹುದಾದ ಮಾಹಿತಿ (ಕೆಳಗಿನ ಚಿತ್ರಗಳನ್ನು ನೋಡಿ). ವಿಂಡೋಸ್ ಈವೆಂಟ್ ಲಾಗ್ನಲ್ಲಿಲ್ಲದ ಉಪಯುಕ್ತ ವಿವರಗಳ ಗುಂಪನ್ನು ನೀವು ಕಾಣಬಹುದು, ಆದರೆ ಪ್ರಮುಖವಾದವು ಈ ಕೆಳಗಿನ ಕ್ಷೇತ್ರಗಳಾಗಿವೆ:
- ಪ್ರಕ್ರಿಯೆ ID (ದಶಮಾಂಶದಲ್ಲಿ, ಹೆಕ್ಸ್ ಅಲ್ಲ!)
- ಪೋಷಕ ಪ್ರಕ್ರಿಯೆ ID
- ಪ್ರಕ್ರಿಯೆ ಆಜ್ಞಾ ಸಾಲಿನ
- ಪೋಷಕ ಪ್ರಕ್ರಿಯೆಯ ಕಮಾಂಡ್ ಲೈನ್
- ಫೈಲ್ ಇಮೇಜ್ ಹ್ಯಾಶ್
- ಫೈಲ್ ಚಿತ್ರದ ಹೆಸರುಗಳು
Sysmon ಅನ್ನು ಸಾಧನ ಚಾಲಕವಾಗಿ ಮತ್ತು ಸೇವೆಯಾಗಿ ಸ್ಥಾಪಿಸಲಾಗಿದೆ - ಹೆಚ್ಚಿನ ವಿವರಗಳು ಇದರ ಪ್ರಮುಖ ಪ್ರಯೋಜನವೆಂದರೆ ಲಾಗ್ಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುವ ಸಾಮರ್ಥ್ಯ ಹಲವಾರು ಮೂಲಗಳು, ಮಾಹಿತಿಯ ಪರಸ್ಪರ ಸಂಬಂಧ ಮತ್ತು ಮಾರ್ಗದ ಉದ್ದಕ್ಕೂ ಇರುವ ಒಂದು ಈವೆಂಟ್ ಲಾಗ್ ಫೋಲ್ಡರ್ಗೆ ಫಲಿತಾಂಶದ ಮೌಲ್ಯಗಳ ಔಟ್ಪುಟ್ ಮೈಕ್ರೋಸಾಫ್ಟ್ -> ವಿಂಡೋಸ್ -> ಸಿಸ್ಮನ್ -> ಆಪರೇಷನಲ್. ವಿಂಡೋಸ್ ಲಾಗ್ಗಳ ಕುರಿತಾದ ನನ್ನ ಸ್ವಂತ ಕೂದಲೆಳೆ ತನಿಖೆಯಲ್ಲಿ, ಪವರ್ಶೆಲ್ ಲಾಗ್ಗಳ ಫೋಲ್ಡರ್ ಮತ್ತು ಸೆಕ್ಯುರಿಟಿ ಫೋಲ್ಡರ್ಗಳ ನಡುವೆ ನಿರಂತರವಾಗಿ ಬದಲಾಯಿಸಬೇಕಾಗಿರುವುದನ್ನು ನಾನು ಕಂಡುಕೊಂಡಿದ್ದೇನೆ, ಈವೆಂಟ್ ಲಾಗ್ಗಳ ಮೂಲಕ ಎರಡರ ನಡುವಿನ ಮೌಲ್ಯಗಳನ್ನು ಹೇಗಾದರೂ ಪರಸ್ಪರ ಸಂಬಂಧಿಸುವ ಧೀರ ಪ್ರಯತ್ನದಲ್ಲಿ ಮಿನುಗುತ್ತಿದ್ದೇನೆ. . ಇದು ಎಂದಿಗೂ ಸುಲಭದ ಕೆಲಸವಲ್ಲ, ಮತ್ತು ನಾನು ನಂತರ ಅರಿತುಕೊಂಡಂತೆ, ತಕ್ಷಣವೇ ಆಸ್ಪಿರಿನ್ ಅನ್ನು ಸಂಗ್ರಹಿಸುವುದು ಉತ್ತಮವಾಗಿದೆ.
ಆಧಾರವಾಗಿರುವ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಸಹಾಯ ಮಾಡಲು ಉಪಯುಕ್ತ (ಅಥವಾ ಮಾರಾಟಗಾರರು ಹೇಳಲು ಇಷ್ಟಪಡುವಂತೆ, ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ) ಮಾಹಿತಿಯನ್ನು ಒದಗಿಸುವ ಮೂಲಕ ಸಿಸ್ಮನ್ ಕ್ವಾಂಟಮ್ ಲೀಪ್ ಫಾರ್ವರ್ಡ್ ಅನ್ನು ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, ನಾನು ರಹಸ್ಯ ಅಧಿವೇಶನವನ್ನು ಪ್ರಾರಂಭಿಸಿದೆ , ನೆಟ್ವರ್ಕ್ನೊಳಗೆ ಸ್ಮಾರ್ಟ್ ಒಳಗಿನವರ ಚಲನೆಯನ್ನು ಅನುಕರಿಸುವುದು. ವಿಂಡೋಸ್ ಈವೆಂಟ್ ಲಾಗ್ನಲ್ಲಿ ನೀವು ಇದನ್ನು ನೋಡುತ್ತೀರಿ:
ವಿಂಡೋಸ್ ಲಾಗ್ ಪ್ರಕ್ರಿಯೆಯ ಬಗ್ಗೆ ಕೆಲವು ಮಾಹಿತಿಯನ್ನು ತೋರಿಸುತ್ತದೆ, ಆದರೆ ಇದು ಕಡಿಮೆ ಬಳಕೆಯಾಗಿದೆ. ಜೊತೆಗೆ ಪ್ರಕ್ರಿಯೆ ಐಡಿಗಳು ಹೆಕ್ಸಾಡೆಸಿಮಲ್ನಲ್ಲಿ???
ಹ್ಯಾಕಿಂಗ್ನ ಮೂಲಭೂತ ಅಂಶಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವ ವೃತ್ತಿಪರ ಐಟಿ ವೃತ್ತಿಪರರಿಗೆ, ಆಜ್ಞಾ ಸಾಲಿನ ಅನುಮಾನಾಸ್ಪದವಾಗಿರಬೇಕು. cmd.exe ಅನ್ನು ಬಳಸಿಕೊಂಡು ಮತ್ತೊಂದು ಆಜ್ಞೆಯನ್ನು ಚಲಾಯಿಸಲು ಮತ್ತು ಔಟ್ಪುಟ್ ಅನ್ನು ವಿಚಿತ್ರ ಹೆಸರಿನ ಫೈಲ್ಗೆ ಮರುನಿರ್ದೇಶಿಸುವುದು ಮೇಲ್ವಿಚಾರಣೆ ಮತ್ತು ನಿಯಂತ್ರಣ ಸಾಫ್ಟ್ವೇರ್ನ ಕ್ರಿಯೆಗಳಿಗೆ ಸ್ಪಷ್ಟವಾಗಿ ಹೋಲುತ್ತದೆ : ಈ ರೀತಿಯಾಗಿ, WMI ಸೇವೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಹುಸಿ-ಶೆಲ್ ಅನ್ನು ರಚಿಸಲಾಗಿದೆ.
ಈಗ ನಾವು Sysmon ಪ್ರವೇಶ ಸಮಾನವನ್ನು ನೋಡೋಣ, ಅದು ನಮಗೆ ಎಷ್ಟು ಹೆಚ್ಚುವರಿ ಮಾಹಿತಿಯನ್ನು ನೀಡುತ್ತದೆ ಎಂಬುದನ್ನು ಗಮನಿಸಿ:
ಒಂದು ಸ್ಕ್ರೀನ್ಶಾಟ್ನಲ್ಲಿ Sysmon ವೈಶಿಷ್ಟ್ಯಗಳು: ಓದಬಹುದಾದ ರೂಪದಲ್ಲಿ ಪ್ರಕ್ರಿಯೆಯ ಬಗ್ಗೆ ವಿವರವಾದ ಮಾಹಿತಿ
ನೀವು ಕಮಾಂಡ್ ಲೈನ್ ಅನ್ನು ಮಾತ್ರ ನೋಡುವುದಿಲ್ಲ, ಆದರೆ ಫೈಲ್ ಹೆಸರು, ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಅಪ್ಲಿಕೇಶನ್ನ ಮಾರ್ಗ, ಅದರ ಬಗ್ಗೆ ವಿಂಡೋಸ್ ಏನು ತಿಳಿದಿದೆ ("ವಿಂಡೋಸ್ ಕಮಾಂಡ್ ಪ್ರೊಸೆಸರ್"), ಗುರುತಿಸುವಿಕೆ ಪೋಷಕರ ಪ್ರಕ್ರಿಯೆ, ಆಜ್ಞಾ ಸಾಲಿನ ಪೋಷಕ, ಇದು cmd ಶೆಲ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಿತು, ಜೊತೆಗೆ ಮೂಲ ಪ್ರಕ್ರಿಯೆಯ ನೈಜ ಫೈಲ್ ಹೆಸರು. ಎಲ್ಲವೂ ಒಂದೇ ಸ್ಥಳದಲ್ಲಿ, ಅಂತಿಮವಾಗಿ!
ಸಿಸ್ಮನ್ ಲಾಗ್ನಿಂದ ನಾವು ಹೆಚ್ಚಿನ ಮಟ್ಟದ ಸಂಭವನೀಯತೆಯೊಂದಿಗೆ "ಕಚ್ಚಾ" ಲಾಗ್ಗಳಲ್ಲಿ ನೋಡಿದ ಈ ಅನುಮಾನಾಸ್ಪದ ಆಜ್ಞಾ ಸಾಲಿನ ಉದ್ಯೋಗಿಯ ಸಾಮಾನ್ಯ ಕೆಲಸದ ಫಲಿತಾಂಶವಲ್ಲ ಎಂದು ನಾವು ತೀರ್ಮಾನಿಸಬಹುದು. ಇದಕ್ಕೆ ತದ್ವಿರುದ್ಧವಾಗಿ, ಇದು C2 ತರಹದ ಪ್ರಕ್ರಿಯೆಯಿಂದ ರಚಿಸಲ್ಪಟ್ಟಿದೆ - wmiexec, ನಾನು ಮೊದಲೇ ಹೇಳಿದಂತೆ - ಮತ್ತು ನೇರವಾಗಿ WMI ಸೇವಾ ಪ್ರಕ್ರಿಯೆಯಿಂದ (WmiPrvSe) ಹುಟ್ಟಿಕೊಂಡಿತು. ರಿಮೋಟ್ ಆಕ್ರಮಣಕಾರರು ಅಥವಾ ಒಳಗಿನವರು ಕಾರ್ಪೊರೇಟ್ ಮೂಲಸೌಕರ್ಯವನ್ನು ಪರೀಕ್ಷಿಸುತ್ತಿದ್ದಾರೆ ಎಂಬ ಸೂಚಕವನ್ನು ಈಗ ನಾವು ಹೊಂದಿದ್ದೇವೆ.
Get-Sysmonlogs ಅನ್ನು ಪರಿಚಯಿಸಲಾಗುತ್ತಿದೆ
Sysmon ಒಂದೇ ಸ್ಥಳದಲ್ಲಿ ಲಾಗ್ಗಳನ್ನು ಇರಿಸಿದಾಗ ಅದು ಅದ್ಭುತವಾಗಿದೆ. ಆದರೆ ನಾವು ವೈಯಕ್ತಿಕ ಲಾಗ್ ಕ್ಷೇತ್ರಗಳನ್ನು ಪ್ರೋಗ್ರಾಮ್ಯಾಟಿಕ್ ಆಗಿ ಪ್ರವೇಶಿಸಿದರೆ ಅದು ಇನ್ನೂ ಉತ್ತಮವಾಗಿರುತ್ತದೆ - ಉದಾಹರಣೆಗೆ, ಪವರ್ಶೆಲ್ ಆಜ್ಞೆಗಳ ಮೂಲಕ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಸಂಭಾವ್ಯ ಬೆದರಿಕೆಗಳ ಹುಡುಕಾಟವನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸುವ ಸಣ್ಣ PowerShell ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ನೀವು ಬರೆಯಬಹುದು!
ಅಂತಹ ಕಲ್ಪನೆಯನ್ನು ಹೊಂದಲು ನಾನು ಮೊದಲಿಗನಲ್ಲ. ಮತ್ತು ಕೆಲವು ಫೋರಮ್ ಪೋಸ್ಟ್ಗಳು ಮತ್ತು GitHub ನಲ್ಲಿ ಇದು ಒಳ್ಳೆಯದು ಸಿಸ್ಮನ್ ಲಾಗ್ ಅನ್ನು ಪಾರ್ಸ್ ಮಾಡಲು ಪವರ್ಶೆಲ್ ಅನ್ನು ಹೇಗೆ ಬಳಸುವುದು ಎಂದು ಈಗಾಗಲೇ ವಿವರಿಸಲಾಗಿದೆ. ನನ್ನ ಸಂದರ್ಭದಲ್ಲಿ, ಪ್ರತಿ ಸಿಸ್ಮನ್ ಕ್ಷೇತ್ರಕ್ಕೆ ಪ್ರತ್ಯೇಕವಾದ ಪಾರ್ಸಿಂಗ್ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಬರೆಯುವುದನ್ನು ತಪ್ಪಿಸಲು ನಾನು ಬಯಸುತ್ತೇನೆ. ಹಾಗಾಗಿ ನಾನು ಸೋಮಾರಿಯಾದ ಮನುಷ್ಯನ ತತ್ವವನ್ನು ಬಳಸಿದ್ದೇನೆ ಮತ್ತು ಪರಿಣಾಮವಾಗಿ ನಾನು ಆಸಕ್ತಿದಾಯಕವಾದದ್ದನ್ನು ತಂದಿದ್ದೇನೆ ಎಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ.
ಮೊದಲ ಪ್ರಮುಖ ಅಂಶವೆಂದರೆ ತಂಡದ ಸಾಮರ್ಥ್ಯ Sysmon ಲಾಗ್ಗಳನ್ನು ಓದಿ, ಅಗತ್ಯ ಈವೆಂಟ್ಗಳನ್ನು ಫಿಲ್ಟರ್ ಮಾಡಿ ಮತ್ತು ಫಲಿತಾಂಶವನ್ನು PS ವೇರಿಯೇಬಲ್ಗೆ ಔಟ್ಪುಟ್ ಮಾಡಿ, ಇಲ್ಲಿ ಹಾಗೆ:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
$events ರಚನೆಯ ಮೊದಲ ಅಂಶದಲ್ಲಿ ವಿಷಯವನ್ನು ಪ್ರದರ್ಶಿಸುವ ಮೂಲಕ ಆಜ್ಞೆಯನ್ನು ನೀವೇ ಪರೀಕ್ಷಿಸಲು ನೀವು ಬಯಸಿದರೆ, $events[0]. ಸಂದೇಶ, ಔಟ್ಪುಟ್ ತುಂಬಾ ಸರಳವಾದ ಸ್ವರೂಪದೊಂದಿಗೆ ಪಠ್ಯ ತಂತಿಗಳ ಸರಣಿಯಾಗಿರಬಹುದು: ಇದರ ಹೆಸರು ಸಿಸ್ಮನ್ ಕ್ಷೇತ್ರ, ಕೊಲೊನ್, ಮತ್ತು ನಂತರ ಮೌಲ್ಯವು ಸ್ವತಃ.
ಹುರ್ರೇ! JSON-ಸಿದ್ಧ ಸ್ವರೂಪಕ್ಕೆ Sysmon ಲಾಗ್ ಅನ್ನು ಔಟ್ಪುಟ್ ಮಾಡಲಾಗುತ್ತಿದೆ
ನೀವು ನನ್ನಂತೆಯೇ ಯೋಚಿಸುತ್ತಿದ್ದೀರಾ? ಸ್ವಲ್ಪ ಹೆಚ್ಚು ಪ್ರಯತ್ನದಿಂದ, ನೀವು ಔಟ್ಪುಟ್ ಅನ್ನು JSON ಫಾರ್ಮ್ಯಾಟ್ ಮಾಡಿದ ಸ್ಟ್ರಿಂಗ್ಗೆ ಪರಿವರ್ತಿಸಬಹುದು ಮತ್ತು ನಂತರ ಅದನ್ನು ಶಕ್ತಿಯುತ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು ನೇರವಾಗಿ PS ಆಬ್ಜೆಕ್ಟ್ಗೆ ಲೋಡ್ ಮಾಡಬಹುದು .
ನಾನು ಪರಿವರ್ತನೆಗಾಗಿ ಪವರ್ಶೆಲ್ ಕೋಡ್ ಅನ್ನು ತೋರಿಸುತ್ತೇನೆ - ಇದು ತುಂಬಾ ಸರಳವಾಗಿದೆ - ಮುಂದಿನ ಭಾಗದಲ್ಲಿ. ಸದ್ಯಕ್ಕೆ, ನಾನು PS ಮಾಡ್ಯೂಲ್ ಆಗಿ ಸ್ಥಾಪಿಸಿದ get-sysmonlogs ಎಂಬ ನನ್ನ ಹೊಸ ಆಜ್ಞೆಯು ಏನು ಮಾಡಬಹುದೆಂದು ನೋಡೋಣ.
ಅನನುಕೂಲವಾದ ಈವೆಂಟ್ ಲಾಗ್ ಇಂಟರ್ಫೇಸ್ ಮೂಲಕ ಸಿಸ್ಮನ್ ಲಾಗ್ ವಿಶ್ಲೇಷಣೆಗೆ ಆಳವಾಗಿ ಮುಳುಗುವ ಬದಲು, ನಾವು ಪವರ್ಶೆಲ್ ಸೆಷನ್ನಿಂದ ನೇರವಾಗಿ ಹೆಚ್ಚುತ್ತಿರುವ ಚಟುವಟಿಕೆಯನ್ನು ಸಲೀಸಾಗಿ ಹುಡುಕಬಹುದು, ಹಾಗೆಯೇ PS ಆಜ್ಞೆಯನ್ನು ಬಳಸಬಹುದು. (ಅಲಿಯಾಸ್ - "?") ಹುಡುಕಾಟ ಫಲಿತಾಂಶಗಳನ್ನು ಕಡಿಮೆ ಮಾಡಲು:
WMI ಮೂಲಕ ಪ್ರಾರಂಭಿಸಲಾದ cmd ಶೆಲ್ಗಳ ಪಟ್ಟಿ. ನಮ್ಮ ಸ್ವಂತ ಗೆಟ್-ಸಿಸ್ಮನ್ಲಾಗ್ಸ್ ತಂಡದೊಂದಿಗೆ ಅಗ್ಗದಲ್ಲಿ ಬೆದರಿಕೆ ವಿಶ್ಲೇಷಣೆ
ಅದ್ಭುತ! Sysmon ಲಾಗ್ ಅನ್ನು ಡೇಟಾಬೇಸ್ನಂತೆ ಪೋಲ್ ಮಾಡಲು ನಾನು ಉಪಕರಣವನ್ನು ರಚಿಸಿದ್ದೇನೆ. ಬಗ್ಗೆ ನಮ್ಮ ಲೇಖನದಲ್ಲಿ ಔಪಚಾರಿಕವಾಗಿ ನಿಜವಾದ SQL-ತರಹದ ಇಂಟರ್ಫೇಸ್ನ ಮೂಲಕ ಈ ಕಾರ್ಯವನ್ನು ಅದರಲ್ಲಿ ವಿವರಿಸಿದ ತಂಪಾದ ಉಪಯುಕ್ತತೆಯಿಂದ ನಿರ್ವಹಿಸಲಾಗುತ್ತದೆ ಎಂದು ಗಮನಿಸಲಾಗಿದೆ. ಹೌದು, EQL ಸೊಗಸಾದ, ಆದರೆ ನಾವು ಅದನ್ನು ಮೂರನೇ ಭಾಗದಲ್ಲಿ ಸ್ಪರ್ಶಿಸುತ್ತೇವೆ.
ಸಿಸ್ಮನ್ ಮತ್ತು ಗ್ರಾಫ್ ವಿಶ್ಲೇಷಣೆ
ನಾವು ಹಿಂದೆ ಸರಿಯೋಣ ಮತ್ತು ನಾವು ಈಗ ಏನು ರಚಿಸಿದ್ದೇವೆ ಎಂಬುದರ ಕುರಿತು ಯೋಚಿಸೋಣ. ಮೂಲಭೂತವಾಗಿ, ನಾವು ಈಗ ಪವರ್ಶೆಲ್ ಮೂಲಕ ಪ್ರವೇಶಿಸಬಹುದಾದ ವಿಂಡೋಸ್ ಈವೆಂಟ್ ಡೇಟಾಬೇಸ್ ಅನ್ನು ಹೊಂದಿದ್ದೇವೆ. ನಾನು ಮೊದಲೇ ಗಮನಿಸಿದಂತೆ, ದಾಖಲೆಗಳ ನಡುವೆ ಸಂಪರ್ಕಗಳು ಅಥವಾ ಸಂಬಂಧಗಳಿವೆ - ParentProcessId ಮೂಲಕ - ಆದ್ದರಿಂದ ಪ್ರಕ್ರಿಯೆಗಳ ಸಂಪೂರ್ಣ ಶ್ರೇಣಿಯನ್ನು ಪಡೆಯಬಹುದು.
ನೀವು ಸರಣಿಯನ್ನು ಓದಿದ್ದರೆ ಹ್ಯಾಕರ್ಗಳು ಸಂಕೀರ್ಣವಾದ ಬಹು-ಹಂತದ ದಾಳಿಗಳನ್ನು ರಚಿಸಲು ಇಷ್ಟಪಡುತ್ತಾರೆ ಎಂದು ನಿಮಗೆ ತಿಳಿದಿದೆ, ಇದರಲ್ಲಿ ಪ್ರತಿಯೊಂದು ಪ್ರಕ್ರಿಯೆಯು ತನ್ನದೇ ಆದ ಸಣ್ಣ ಪಾತ್ರವನ್ನು ವಹಿಸುತ್ತದೆ ಮತ್ತು ಮುಂದಿನ ಹಂತಕ್ಕೆ ಸ್ಪ್ರಿಂಗ್ಬೋರ್ಡ್ ಅನ್ನು ಸಿದ್ಧಪಡಿಸುತ್ತದೆ. "ಕಚ್ಚಾ" ಲಾಗ್ನಿಂದ ಸರಳವಾಗಿ ಅಂತಹ ವಿಷಯಗಳನ್ನು ಹಿಡಿಯುವುದು ತುಂಬಾ ಕಷ್ಟ.
ಆದರೆ ನನ್ನ Get-Sysmonlogs ಕಮಾಂಡ್ ಮತ್ತು ಹೆಚ್ಚುವರಿ ಡೇಟಾ ರಚನೆಯೊಂದಿಗೆ ನಾವು ನಂತರ ಪಠ್ಯದಲ್ಲಿ ನೋಡೋಣ (ಗ್ರಾಫ್, ಸಹಜವಾಗಿ), ಬೆದರಿಕೆಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ನಾವು ಪ್ರಾಯೋಗಿಕ ಮಾರ್ಗವನ್ನು ಹೊಂದಿದ್ದೇವೆ - ಇದು ಸರಿಯಾದ ಶೃಂಗದ ಹುಡುಕಾಟವನ್ನು ಮಾಡುವ ಅಗತ್ಯವಿದೆ.
ಯಾವಾಗಲೂ ನಮ್ಮ DYI ಬ್ಲಾಗ್ ಪ್ರಾಜೆಕ್ಟ್ಗಳೊಂದಿಗೆ, ಸಣ್ಣ ಪ್ರಮಾಣದಲ್ಲಿ ಬೆದರಿಕೆಗಳ ವಿವರಗಳನ್ನು ವಿಶ್ಲೇಷಿಸಲು ನೀವು ಹೆಚ್ಚು ಕೆಲಸ ಮಾಡುತ್ತೀರಿ, ಎಂಟರ್ಪ್ರೈಸ್ ಮಟ್ಟದಲ್ಲಿ ಬೆದರಿಕೆ ಪತ್ತೆ ಎಷ್ಟು ಸಂಕೀರ್ಣವಾಗಿದೆ ಎಂಬುದನ್ನು ನೀವು ಹೆಚ್ಚು ಅರಿತುಕೊಳ್ಳುತ್ತೀರಿ. ಮತ್ತು ಈ ಅರಿವು ಅತ್ಯಂತ ಹೆಚ್ಚು ಪ್ರಮುಖ ಅಂಶ.
ಲೇಖನದ ಎರಡನೇ ಭಾಗದಲ್ಲಿ ನಾವು ಮೊದಲ ಆಸಕ್ತಿದಾಯಕ ತೊಡಕುಗಳನ್ನು ಎದುರಿಸುತ್ತೇವೆ, ಅಲ್ಲಿ ನಾವು Sysmon ಈವೆಂಟ್ಗಳನ್ನು ಪರಸ್ಪರ ಹೆಚ್ಚು ಸಂಕೀರ್ಣವಾದ ರಚನೆಗಳಾಗಿ ಸಂಪರ್ಕಿಸಲು ಪ್ರಾರಂಭಿಸುತ್ತೇವೆ.
ಮೂಲ: www.habr.com