Usor workstation est punctum vulnerabile infrastructurae secundum informationes securitatis. Utentes litteras recipere possunt ad inscriptionem laboris sui quae ex fonte tuto esse apparet, sed cum nexu cum situ infectis. Forsitan aliquis ex ignoto loco utilitatem utilem dabit. Ita, cum justo casuum adire potes quomodo malware opes corporatum internas per usores infligere potest. Operationes ergo auctam attentionem requirunt, et in hoc articulo docebimus ubi et quid eventorum capiat monitoris impetus.
Impetum in scaena quam primum deprehendere, Fenestra tres fontes eventus utiles habet: Eventus Log Securitatis, Log Monitoring Systema, et Testa Potentia Logs.
Security Event Log
Hoc est principale locum repono pro ratio securitatis omnia. Haec includit eventus usoris login/logout, accessum ad res, consilium mutationes et alias actiones securitatis relatas. Sane si consilium congruum configuratur.
Enumeratio utentium et coetuum (eventa 4798 et 4799). In primo impetu, malware saepe per rationes usoris locales et circulos locales in workstatione scrutatur ut documentorum pro umbrosis commercio inveniatur. Hae eventus in codice maligno deprehendentur antequam progrediatur et, utens notitia collecta, in alia systemata diffunditur.
Creatio rationum localium et mutationum in coetibus localibus (eventus 4720, 4722-4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 et 5377). Oppugnatio etiam incipere potest, exempli gratia, addito novo usuario ad administratores locales coetus.
Incepta login cum loci ratione (eventus 4624). Utentes honesti aperi cum ratione nationis, et login sub ratione locali distinguentes initium oppugnationis significare possunt. Eventus 4624 etiam logins sub ratione dicione comprehendit, ut cum eventa expedias, eventa eliquare debes ubi dominium differt ab nomine operante.
Conatum aperi cum certa ratione (res (IV)CDLXVIII). Hoc fit cum modus currit in "currendo". Hoc in normali systematis operatione contingere non debet, ideo tales eventus coerceri debent.
Obstructio / reserans workstation (events 4800-4803). Genus eventuum suspectorum includit actiones omnes quae in opere clausa facta sunt.
Agnitum configurationem mutat (eventa 4944-4958). Patet, cum novis programmatibus inaugurari potest, firewall figurae occasus mutare possunt, qui falsum positivorum causant. Pleraque non opus est has mutationes regere, sed de his cognoscere certum non erit.
Plug'n'play machinis connectens (eventus 6416 et solum pro Fenestra 10). Gravis est hoc observare si utentes soleant novas machinis workstationi coniungere, sed subito tunc faciunt.
Windows includit 9 categorias auditionum et 50 subcategorias pro bene-tuning. Minimae copiae subcategoriae quae in uncinis esse possunt:
Item / Logoff
- Logon;
- Logoff;
- Account Lockout;
- Alia Logon/Logoff Events.
AccountManagement
- Ratio usoris Management;
- Security Group Management.
Consilium Mutare
- Audit Policy Change;
- Authentication Policy Change;
- LICENTIA Policy Mutare.
Systema Monitor (Sysmon)
Sysmon utilitas in Fenestra aedificata est quae eventus in systemate loga notare potest. Plerumque opus est separatim instituere.
Eaedem res in principio inveniri possunt in stipes securitatis (per quod desideratum consilium audiit), sed Sysmon planius praebet. Quae res ex Sysmone sumi potest?
Processus creationis (event ID 1). Systema securitatis eventus log potest etiam tibi dicere cum *.exe incepit et nomen suum demonstrare et iter deducunt. Sed dissimilis Sysmon, applicatione Nullam ostendere non poterit. Lucrum malitiosum etiam notepad.exe innoxium dici potest, sed Nullam in lucem afferet.
Network Iunctio (Vicis ID III). Patet, multae nexus retis sunt, et omnium vestigia tenere impossibile est. Sed interest considerare Sysmon, Log Securitatis dissimilis, nexum retis ad Agros ProcessID et ProcessGUID obligare posse, et portum et IP inscriptiones fontis et destinationis ostendit.
Mutationes in registro systematis (eventus ID 12-14). Facillima via autorun te addere est in registro subcriptio. Securitas Log hoc facere potest, sed Sysmon ostendit qui mutationes fecit, quando, unde id processit et valorem key priorem.
Tabellae creatio (event ID 11). Sysmon, dissimilis Log Securitatis, non solum situm tabellae ostendet, sed etiam nomen eius. Patet te non omnia vestigia tenere, sed quaedam directoria audire potes.
Et nunc quis in Security Log non lobortis, sed in Sysmon:
Mutatio documenti tempus creationis (Event ID 2). Aliqui malware possunt spoofum tabellae creationis diem celare ab relationibus imaginum recentium creatarum.
Onerans rectores et bibliothecas dynamicas (event IDs 6-7). Adipiscing onerationem DLLs et fabrica coegi in memoriam, notans signaturam digitalem eiusque validitatem.
Filum crea in processu currens (eventus ID 8). Unum genus oppugnationis etiam viverra eget.
RawAccessRead Events (Event ID 9). Orbis lege operationes utens ".". In plurimis casibus, talis actio abnormis considerari debet.
Nomen file amnis creare (event ID 15). Eventus initium est cum nominatus amnis fasciculus creatur qui eventus emittit cum Nullam documenti contenta.
De nomine creando fistulam et connexionem (eventus ID 17-18). Vestigia malivoli codicem qui cum aliis componentibus per fistulam nominatim communicat.
WMI actio (event ID 19). Adnotatione eventuum qui generantur cum systema accessu per WMI protocollum.
Ad ipsum Sysmon defendendum, necesse est ut eventus monitoris cum ID 4 (Sysmon desinendi et incipiendi) et ID 16 (configuratio Sysmon mutetur).
Potestas Testa Logs
Potestas Testa potens est instrumentum ad substructionem Fenestram administrandam, ergo casus excelsus est ut eam invasorem eliget. Duo sunt fontes, quibus uti potes ad rem datam potestatem Testa obtinendam: Windows PowerShell log et Microsoft-WindowsPowerShell/Operational stipes.
Windows PowerShell log
Data provisor onustus (event ID 600). Provisores PowerShell sunt programmata quae praebent fontem notitiarum pro PowerShell ad videndum et administrandum. Exempli gratia, provisoribus constructum esse Fenestra environment variabilis vel subcriptio systematis esse potuit. Novorum praebitorum cessum monitorem esse oportet ut actionem malignam in tempore deprehendas. Exempli gratia, si WSMan inter provisores apparens videris, tunc sessionis remota PowerShell incepit.
Microsoft-WindowsPowerShell / Operational iniuriarum (vel MicrosoftWindows-PowerShellCore / Operational in PowerShell VI)
OMNIBUS logging (event ID 4103). Rerum gestarum informationes de singulis exsecutioni mandandis et parametris quibuscum appellatum est.
Script interclusio logging (event ID 4104). Scriptor interclusio logging ostendit omnem scandalum PowerShell code supplicium. Etiam si oppugnator imperium celare temptat, huius rei typus PowerShell imperium quod actu exsecutus est ostendet. Huius rei genus etiam in humili gradu API vocatum iniisse potest, hae eventus plerumque ut Verbose memorantur, sed si mandatum suspiciosum vel scriptum in trunco codicis adhibeatur, initium severitatis erit.
Quaeso nota quod semel instrumentum configuratur ad colligendas et resolvendas has res gestas, tempus additicium debugging requiretur ad numerum positivorum falsorum reducendum.
Indica nobis in commenta quae tigna colligis ad informationes securitatis audiendas et quae instrumenta ad hoc uteris. Una e nostris locis umbilici solutiones est ad audiendas notitias rerum securitatem. Quaestionem solvendi de lignis colligendis et resolvendis, possumus suadere ut propius inspiciamus quae comprimere potest notitias conditas cum ratione 20, et instantia eius inaugurata capax est ad 1 eventus per alterum ab 60000 fontibus dispensare.
Source: www.habr.com