Hic articulus est prima pars seriei analysis comminationis in Sysmon. Omnes aliae partes seriei;
Pars I: Introductio ad Sysmon Log Analysis (hic sumus)
Pars II: Usura Sysmon Vicis Data ad COGNOSCO Minae
Pars 3. In profundis analysis Sysmonis minis utens graphs
Si in securitate informationis laboras, probabiliter saepe oppugnationes continuas intellegendum est. Si iam oeulos habes, quaerere potes actionem non modalem in lignis "crudis" unprocessatis - dicis, scriptum currit PowerShell. vel scriptum VBS quasi file Verbi simulans - simpliciter scrolling per recentissimas operationes in Fenestra eventu log. Sed hic est vere magna capitis. Feliciter, Microsoft Sysmon creavit, quae analysin multo facilius oppugnat.
Visne intelligere ideas fundamentales post minas in Sysmon logas exhibitas? Download dux noster et scias quomodo insidentes alios operarios surreptione possint observare. Praecipua difficultas ad operandum cum eventu fenestrarum iniuriarum est defectus informationum de processibus parentis, i.e. quod impossibile est intelligere hierarchiam processuum ab ea. Sysmon indices stipes, contra, processus parentis ID, nomen suum, et lineam mandatum deducendae continent. Gratias ago tibi, Microsoft.
In prima seriei nostrae parte considerabimus quid facere possis notitiarum fundamentalium de Sysmone. In Parte II, parentis processum notitias plenas adhibebimus ad obsequia structuras magis implicatas creandas quae graphs minas notae sunt. In tertia parte videbimus algorithmum simplex qui minas graphi lustrat ad quaerendam insolitam actionem per "pondere" graphi dividendo. Et in fine, lepida (et intelligibili) praemiata eris probabilistica comminationis deprehensio methodi.
Pars I: Introductio ad Sysmon Log Analysis
Quid potest auxilium intelligere multiplicitates eventus log? AD POSTREMUM β SIEM. Eventus normalizat ac sequentem analysim simplicificat. Sed non attingimus, primo saltem non. In principio, ut intelligas principia SIEM, satis erit experiri mirabilis gratis Sysmonis utilitatem. Et mirum est cum labore facilis. Serva eam, Microsoft!
Quid Sysmon features habet?
In summa - informationes utiles et lectabiles de processibus (vide imagines infra). Fasciculum singularium utilium invenies quae in Fenestra Event Log non sunt, sed praecipuae sequentes agros:
- Process ID.
- Parent processus ID
- Processus order versus
- Parentis processus imperium linea
- File imaginem Nullam
- Tabellae imago nomina
Sysmon installatur tam pro fabrica exactoris quam in servitio - more details Praecipua eius utilitas est facultas omnia analysi ex* paucorum fontes, relatio notitiarum et outputa valorum consequentium ad unum eventum logorum folder per viam Microsoft -> Windows -> Sysmon -> Operational. In meis investigationibus crinibus in fenestras positis, me inveni assidue habere inter mutandum, inquam, Tigna PowerShell folder et Folder Securitatis, per eventum tigna micans in fortissimo conatu bona inter duos correlativorum aliquo modo. . Numquam hoc facile est, et ut postea intellexi, melius fuit statim in aspirin instaurare.
Sysmon accipit quantum saltum praebendo utilia (vel ut venditores ut dicunt operabiles) informationes adiuvandas ut actiones subiectas intellegant. Exempli gratia: sessionem secretam coepi motum animi acri intus retis simulans. Hoc est quod in Fenestra eventi stipes videbis:
Fenestrae index aliquas informationes de processu ostendit, sed parum utilia est. Plus processus IDs in hexadecimali???
Pro professionalis IT professio cum intellectu basics caesim, mandatum linea suspectum debet esse. Utens cmd.exe ad aliud mandatum decurrendum et output ad limam redigendo cum nomine alieno perspicue similes actionibus programmatis vigilantiae et moderandi. : Hoc modo, pseudo-testa WMI usus creatur officia.
Nunc inspice ingressum Sysmonis aequivalens, advertens quantum informationis dat.
Sysmon features in uno screenshot: detailed informationes de processu in forma readable
Non solum lineam imperantis vides, sed etiam tabellam nominis, viam ad applicationem exsecutabilem, quae Fenestra de ea cognoscit ("Fenestra Processor Mandati"), identifier. parentum processus, order versus parentquae cmd testa excussa est, tum realis lima nomen processus parentis. Omnia in uno loco denique!
Ex log Sysmon concludere possumus hoc suspectum mandatum in linea quam in "rudis" trabes vidimus non esse exitum laboris normalis, probabilitatis molestie. Prorsus contra, ex processu C2-similis - wmiexec, ut supra memoravi, generatum est - et immediate ab WMI processu muneris (WmiPrvSe). Nunc denotat remotum oppugnatorem vel insidentem infrastructuram corporatum tentare.
Introducendis Get-Sysmonlogs
Nimirum res magna est cum Sysmon tigna in uno loco ponit. Sed fortasse melius esset si ad singulas regiones programmatice stipes accedere possemus - exempli gratia, per PowerShell imperat. In hoc casu, scribere potes parvum documentum PowerShell quod automate quaerere minas potentiales!
Talem ideam non habui primus. Et bonum est quod in aliquo foro nuntia et GitHub Iam explicatum est quomodo PowerShell utatur ut stipes Sysmon ad parse. In casu meo vitare volui scribere singulas lineas de parsing scriptoris pro quolibet Sysmon agro. Ita principio usus sum piger et puto me venisse cum aliquo iucundo inde.
Primum momentum est facultas bigas Sysmon acta lege, necessaria eventa sparge et eventum ad PS variabile outputandum, sicut hic:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Si vis experiri mandatum ipsum, ostendens contentum in primo elemento rerum $extorum, $eventuum[0]. Nuntius, output potest esse series chordarum textuum cum forma simplicissima: nomen Sysmon ager, colonia, et deinde ipsa valoris.
euge! Outputting Sysmon stipes in JSON-parata forma
Hoc idem cogitas quod me? Paulo maiori nisu, output in JSON formatae chordae convertere potes et eam immediatam in PS obiecto utens imperio valido onerabis. .
PowerShell codicem demonstrabo in altera parte conversionis valde simplicis. Nunc enim videamus quid novum mandatum meum sssmonlogorum vocatum, quod in PS modulus institui, facere possit.
Loco in analysi Sysmon loga profunda tribuendi per incommodum eventum stipes interfaces, sine labore possumus quaerere actionem incrementalem immediate a sessione PowerShell ac mandato PS utendi. (alias - "") ad inquisitionis eventum breviare:
Index concharum cmdalium per WMI deductae. Comminatio Analysis in Cheap cum Nostra Own-Sysmonlogs Team
Mirum! Instrumentum creavi ut synthesis Sysmon quasi database esset. In nostro articulo fere observatum est hoc munus exerceri ab utilitate frigida in eo descripto, quamvis formaliter adhuc per realem SQL-similem interfaciem. Ita, EQL eleganssed eam in tertia parte attingemus.
Sysmon et graph analysis
Revertamur et cogitemus de his quae modo creati sumus. Essentialiter, nunc habemus res fenestras database pervias per PowerShell. Sicut superius notavimus, nexus seu relationes sunt inter monumenta - per ParentProcessId -, ita perfecta processuum hierarchia obtineri potest.
Si vis legere seriem scis quod hackers amant multi impetus multipliciter creare, in quibus singulis processus partes suas parvas agit et PETAURUM ad proximum gradum praeparat. Difficillimum est talia capere simpliciter ex "cruda" stipite.
Sed cum mandatis Get-Sysmonlogis meis et additis instrumentis adiectis, postea in textu (scilicet graphio) inspiciemus, practicum modum habemus ad minas deprehendendas - quae modo postulat recta vertex quaerere.
Ut semper cum nostris DYI blog inceptis, eo magis laboras in singula minarum minutatim examinanda, eo magis scies quam multiplex comminatio deprehensio in incepto gradu sit. Et haec conscientia maxime est momenti punctum.
Primas complicationes iucundas occurremus in secunda parte articuli, ubi incipiemus eventus Sysmon inter se coniungere in structuras multo magis implicatas.
Source: www.habr.com