Колдонуучунун жумушчу станциясы маалыматтык коопсуздук жагынан инфраструктуранын эң аялуу жери болуп саналат. Колдонуучулар жумуш электрондук почтасына коопсуз булактан келген катты алышы мүмкүн, бирок вирус жуккан сайтка шилтемеси бар. Балким, кимдир бирөө белгисиз жерден жумуш үчүн пайдалуу программаны жүктөп алат. Ооба, сиз зыяндуу программа колдонуучулар аркылуу ички корпоративдик ресурстарга кантип кирип кетиши мүмкүн деген ондогон учурларды таба аласыз. Ошондуктан, жумушчу станциялар көбүрөөк көңүл бурууну талап кылат жана бул макалада биз чабуулдарды көзөмөлдөө үчүн кайда жана кандай окуяларды жасоо керектигин айтып беребиз.
Кол салууну мүмкүн болушунча эртерээк аныктоо үчүн, WIndows үч пайдалуу окуя булагы бар: Коопсуздук окуяларынын журналы, Системанын мониторингинин журналы жана Power Shell журналдары.
Коопсуздук окуяларынын журналы
Бул системанын коопсуздук журналдарын сактоонун негизги жери. Буга колдонуучунун кирүү/чыгуу окуялары, объекттерге кирүү, саясатты өзгөртүү жана башка коопсуздукка байланыштуу иш-чаралар кирет. Албетте, ылайыктуу саясат конфигурацияланса.
Колдонуучулардын жана топтордун тизмеси (окуялар 4798 жана 4799). Чабуулдун эң башында кесепеттүү программа көп учурда анын көмүскө операциялары үчүн эсептик дайындарды табуу үчүн жумушчу станциядагы жергиликтүү колдонуучу аккаунттарын жана жергиликтүү топторду издейт. Бул окуялар зыяндуу кодду кыймылга чейин аныктоого жардам берет жана чогултулган маалыматтарды колдонуу менен башка системаларга тарайт.
Жергиликтүү эсепти түзүү жана жергиликтүү топторго өзгөртүүлөрдү киргизүү (окуялар 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 жана 5377). Кол салуу, мисалы, жергиликтүү администраторлор тобуна жаңы колдонуучуну кошуу менен да башталышы мүмкүн.
Жергиликтүү каттоо эсеби менен кирүү аракеттери (окуя 4624). Урматтуу колдонуучулар домен эсеби менен кирүү жана жергиликтүү каттоо эсебинин астындагы логинди аныктоо чабуулдун башталышын билдирет. Окуя 4624 домен эсебинин астындагы логиндерди да камтыйт, андыктан окуяларды иштеп чыгууда, сиз домен жумушчу станциянын атынан башкача болгон окуяларды чыпкалашыңыз керек.
Көрсөтүлгөн каттоо эсеби менен кирүү аракети (окуя 4648). Бул процесс "башкача иштетүү" режиминде иштеп жатканда болот. Бул системалардын нормалдуу иштеши учурунда болбошу керек, ошондуктан мындай окуяларды көзөмөлдөө керек.
Иш станциясын кулпулоо/кулпусун ачуу (окуялар 4800-4803). Шектүү окуялар категориясына кулпуланган жумушчу станцияда болгон бардык аракеттер кирет.
Firewall конфигурациясынын өзгөрүшү (окуялар 4944-4958). Албетте, жаңы программаны орнотуп жатканда, брандмауэр конфигурациясынын жөндөөлөрү өзгөрүшү мүмкүн, бул жалган позитивдерди пайда кылат. Көпчүлүк учурларда, мындай өзгөрүүлөрдү көзөмөлдөөнүн кереги жок, бирок алар жөнүндө билүү эч кандай зыян келтирбейт.
Plug'n'play түзмөктөрүн туташтыруу (окуя 6416 жана WIndows 10 үчүн гана). Бул колдонуучулар, адатта, иш бекетине жаңы түзмөктөрдү туташтырбоо, бирок, күтүлбөгөн жерден алар туташтыруу жок болсо, буга көз салуу маанилүү.
Windows 9 аудит категориясын жана тактоо үчүн 50 субкатегорияны камтыйт. Жөндөөлөрдөн иштетилиши керек болгон субкатегориялардын минималдуу топтому:
Кирүү / чыгуу
- Кирүү;
- Тутумдан чыгуу;
- Каттоо эсебин бөгөттөө;
- Башка кирүү/чыгуу окуялары.
менеджер
- Колдонуучунун каттоо эсебин башкаруу;
- Коопсуздук тобун башкаруу.
Саясат өзгөртүү
- Аудит саясатын өзгөртүү;
- Аутентификация саясатын өзгөртүү;
- Авторизация саясатын өзгөртүү.
Системалык монитор (Sysmon)
Sysmon - бул Windows системасына орнотулган утилита, ал система журналына окуяларды жаздыра алат. Адатта, аны өзүнчө орнотуу керек.
Ушул эле окуяларды, негизинен, коопсуздук журналынан тапса болот (каалаган аудит саясатын иштетүү менен), бирок Sysmon кененирээк маалымат берет. Sysmonдон кандай окуяларды алса болот?
Процессти түзүү (окуя ID 1). Системанын коопсуздук окуяларынын журналы *.exe качан башталганын айтып, атүгүл анын атын жана ишке киргизүү жолун көрсөтө алат. Бирок Sysmonдон айырмаланып, ал колдонмо хэшти көрсөтө албайт. Зыяндуу программаны зыянсыз notepad.exe деп атоого болот, бирок аны жарыкка алып келе турган хэш.
Тармак туташуулары (окуя ID 3). Албетте, көп тармактык байланыштар бар жана алардын бардыгына көз салуу мүмкүн эмес. Бирок Sysmon, ошол эле Коопсуздук журналынан айырмаланып, тармактык туташууну ProcessID жана ProcessGUID талааларына байлап, булактын жана көздөгөн жердин порт жана IP даректерин көрсөтө аларын эске алуу керек.
Системанын реестриндеги өзгөрүүлөр (окуя ID 12-14). Өзүңүздү autorunка кошуунун эң оңой жолу - реестрге катталуу. Коопсуздук журналы муну жасай алат, бирок Sysmon өзгөртүүлөрдү ким жасаганын, качан, кайдан, процесстин идентификаторун жана мурунку ачкыч маанисин көрсөтөт.
Файл түзүү (окуя ID 11). Sysmon, Security Log'дан айырмаланып, файлдын жайгашкан жерин гана эмес, анын атын да көрсөтөт. Баарын көзөмөлдөй албасыңыз анык, бирок сиз белгилүү бир каталогдорду текшере аласыз.
Эми Коопсуздук журналынын саясаттарында жок, бирок Sysmonдо эмне бар:
Файлды түзүү убактысын өзгөртүү (окуя ID 2). Кээ бир зыяндуу программалар файлдын түзүлгөн күнүн бурмалап, аны жакында түзүлгөн файлдардын отчетторунан жашырышы мүмкүн.
Драйверлерди жана динамикалык китепканаларды жүктөө (окуя идентификаторлору 6-7). DLL жана түзмөк драйверлеринин эстутумга жүктөлүшүнө мониторинг жүргүзүү, санариптик кол тамганы жана анын жарактуулугун текшерүү.
Иштеп жаткан процессте жип түзүңүз (окуя ID 8). Ошондой эле көзөмөлгө алынышы керек болгон чабуулдун бир түрү.
RawAccessRead окуялары (окуя ID 9). Дискти окуу операциялары “.” аркылуу. Көпчүлүк учурларда мындай иш-аракеттер анормалдуу деп эсептелиши керек.
Аты аталган файл агымын түзүңүз (окуя ID 15). Окуя файлдын мазмунунун хэш менен окуяларды чыгарган файл агымы түзүлгөндө катталат.
Аты аталган түтүк жана байланыш түзүү (окуя ID 17-18). Аты аталган түтүк аркылуу башка компоненттер менен байланышуучу зыяндуу кодду көзөмөлдөө.
WMI аракети (окуя ID 19). WMI протоколу аркылуу системага кирүүдө пайда болгон окуяларды каттоо.
Sysmonдун өзүн коргоо үчүн, окуяларды ID 4 (Sysmon токтоп, ишке киргизүү) жана ID 16 (Sysmon конфигурациясынын өзгөрүшү) менен көзөмөлдөө керек.
Power Shell Logs
Power Shell – бул Windows инфраструктурасын башкаруунун күчтүү куралы, андыктан чабуулчу аны тандап алуу мүмкүнчүлүгү жогору. Power Shell окуя дайындарын алуу үчүн колдоно турган эки булак бар: Windows PowerShell журналы жана Microsoft-WindowsPowerShell/Операциялык журнал.
Windows PowerShell журналы
Маалымат камсыздоочу жүктөлдү (окуя ID 600). PowerShell камсыздоочулары PowerShell үчүн көрүү жана башкаруу үчүн маалымат булагын камсыз кылган программалар. Мисалы, орнотулган провайдерлер Windows чөйрөнүн өзгөрмөлөрү же система реестри болушу мүмкүн. Зыяндуу аракеттерди өз убагында аныктоо үчүн жаңы берүүчүлөрдүн пайда болушуна мониторинг жүргүзүү керек. Мисалы, провайдерлердин арасында WSMan пайда болгонун көрсөңүз, анда алыскы PowerShell сеансы башталды.
Microsoft-WindowsPowerShell / Операциялык журнал (же MicrosoftWindows-PowerShellCore / PowerShell 6да операциялык)
Модул журналы (окуя ID 4103). Окуялар ар бир аткарылган буйрук жана ал чакырылган параметрлер жөнүндө маалыматты сактайт.
Скрипт бөгөттөө журналы (окуя ID 4104). Скрипт бөгөттөө журналы аткарылган PowerShell кодунун ар бир блогун көрсөтөт. Чабуулчу буйрукту жашырууга аракет кылса да, окуянын бул түрү иш жүзүндө аткарылган PowerShell буйругун көрсөтөт. Бул окуянын түрү ошондой эле кээ бир төмөнкү деңгээлдеги API чалууларын журналга киргизе алат, бул окуялар адатта Verbose катары жазылат, бирок код блогунда шектүү буйрук же скрипт колдонулса, ал эскертүү катаалдыгы катары катталат.
Курал бул окуяларды чогултуу жана талдоо үчүн конфигурациялангандан кийин, жалган позитивдердин санын азайтуу үчүн кошумча мүчүлүштүктөрдү оңдоо убактысы талап кылынарын эске алыңыз.
Комментарийлерде маалымат коопсуздугун текшерүү үчүн кандай журналдарды чогулта турганыңызды жана бул үчүн кандай куралдарды колдонгонуңузду айтыңыз. Биздин багытыбыздын бири - маалыматтык коопсуздук окуяларын текшерүү үчүн чечимдер. журналдарды чогултуу жана талдоо көйгөйүн чечүү үчүн, биз жакшылап карап чыгууну сунуш кыла алат , ал 20:1 катышы менен сакталган маалыматтарды кысып алат жана анын орнотулган бир нускасы 60000 10000 булактан секундасына XNUMX XNUMX окуяны иштетүүгө жөндөмдүү.
Source: www.habr.com