Hic articulus est prima pars seriei analysis comminationis in Sysmon. Omnes aliae partes seriei;
Pars I: Introductio ad Sysmon Log Analysis (hic sumus)
Pars II: Usura Sysmon Vicis Data ad COGNOSCO Minae
Pars 3. In profundis analysis Sysmonis minis utens graphs
Si in securitate informationis laboras, probabiliter saepe oppugnationes continuas intellegendum est. Si iam oeulos habes, quaerere potes actionem non modalem in lignis "crudis" unprocessatis - dicis, scriptum currit PowerShell.
Visne intelligere ideas fundamentales post minas in Sysmon logas exhibitas? Download dux noster
In prima seriei nostrae parte considerabimus quid facere possis notitiarum fundamentalium de Sysmone. In Parte II, parentis processum notitias plenas adhibebimus ad obsequia structuras magis implicatas creandas quae graphs minas notae sunt. In tertia parte videbimus algorithmum simplex qui minas graphi lustrat ad quaerendam insolitam actionem per "pondere" graphi dividendo. Et in fine, lepida (et intelligibili) praemiata eris probabilistica comminationis deprehensio methodi.
Pars I: Introductio ad Sysmon Log Analysis
Quid potest auxilium intelligere multiplicitates eventus log? AD POSTREMUM β SIEM. Eventus normalizat ac sequentem analysim simplicificat. Sed non attingimus, primo saltem non. In principio, ut intelligas principia SIEM, satis erit experiri mirabilis gratis Sysmonis utilitatem. Et mirum est cum labore facilis. Serva eam, Microsoft!
Quid Sysmon features habet?
In summa - informationes utiles et lectabiles de processibus (vide imagines infra). Fasciculum singularium utilium invenies quae in Fenestra Event Log non sunt, sed praecipuae sequentes agros:
- Process ID.
- Parent processus ID
- Processus order versus
- Parentis processus imperium linea
- File imaginem Nullam
- Tabellae imago nomina
Sysmon installatur tam pro fabrica exactoris quam in servitio - more details
Sysmon accipit quantum saltum praebendo utilia (vel ut venditores ut dicunt operabiles) informationes adiuvandas ut actiones subiectas intellegant. Exempli gratia: sessionem secretam coepi
Fenestrae index aliquas informationes de processu ostendit, sed parum utilia est. Plus processus IDs in hexadecimali???
Pro professionalis IT professio cum intellectu basics caesim, mandatum linea suspectum debet esse. Utens cmd.exe ad aliud mandatum decurrendum et output ad limam redigendo cum nomine alieno perspicue similes actionibus programmatis vigilantiae et moderandi.
Nunc inspice ingressum Sysmonis aequivalens, advertens quantum informationis dat.
Sysmon features in uno screenshot: detailed informationes de processu in forma readable
Non solum lineam imperantis vides, sed etiam tabellam nominis, viam ad applicationem exsecutabilem, quae Fenestra de ea cognoscit ("Fenestra Processor Mandati"), identifier. parentum processus, order versus parentquae cmd testa excussa est, tum realis lima nomen processus parentis. Omnia in uno loco denique!
Ex log Sysmon concludere possumus hoc suspectum mandatum in linea quam in "rudis" trabes vidimus non esse exitum laboris normalis, probabilitatis molestie. Prorsus contra, ex processu C2-similis - wmiexec, ut supra memoravi, generatum est - et immediate ab WMI processu muneris (WmiPrvSe). Nunc denotat remotum oppugnatorem vel insidentem infrastructuram corporatum tentare.
Introducendis Get-Sysmonlogs
Nimirum res magna est cum Sysmon tigna in uno loco ponit. Sed fortasse melius esset si ad singulas regiones programmatice stipes accedere possemus - exempli gratia, per PowerShell imperat. In hoc casu, scribere potes parvum documentum PowerShell quod automate quaerere minas potentiales!
Talem ideam non habui primus. Et bonum est quod in aliquo foro nuntia et GitHub
Primum momentum est facultas bigas
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Si vis experiri mandatum ipsum, ostendens contentum in primo elemento rerum $extorum, $eventuum[0]. Nuntius, output potest esse series chordarum textuum cum forma simplicissima: nomen Sysmon ager, colonia, et deinde ipsa valoris.
euge! Outputting Sysmon stipes in JSON-parata forma
Hoc idem cogitas quod me? Paulo maiori nisu, output in JSON formatae chordae convertere potes et eam immediatam in PS obiecto utens imperio valido onerabis.
PowerShell codicem demonstrabo in altera parte conversionis valde simplicis. Nunc enim videamus quid novum mandatum meum sssmonlogorum vocatum, quod in PS modulus institui, facere possit.
Loco in analysi Sysmon loga profunda tribuendi per incommodum eventum stipes interfaces, sine labore possumus quaerere actionem incrementalem immediate a sessione PowerShell ac mandato PS utendi.
Index concharum cmdalium per WMI deductae. Comminatio Analysis in Cheap cum Nostra Own-Sysmonlogs Team
Mirum! Instrumentum creavi ut synthesis Sysmon quasi database esset. In nostro articulo fere
Sysmon et graph analysis
Revertamur et cogitemus de his quae modo creati sumus. Essentialiter, nunc habemus res fenestras database pervias per PowerShell. Sicut superius notavimus, nexus seu relationes sunt inter monumenta - per ParentProcessId -, ita perfecta processuum hierarchia obtineri potest.
Si vis legere seriem
Sed cum mandatis Get-Sysmonlogis meis et additis instrumentis adiectis, postea in textu (scilicet graphio) inspiciemus, practicum modum habemus ad minas deprehendendas - quae modo postulat recta vertex quaerere.
Ut semper cum nostris DYI blog inceptis, eo magis laboras in singula minarum minutatim examinanda, eo magis scies quam multiplex comminatio deprehensio in incepto gradu sit. Et haec conscientia maxime est momenti punctum.
Primas complicationes iucundas occurremus in secunda parte articuli, ubi incipiemus eventus Sysmon inter se coniungere in structuras multo magis implicatas.
Source: www.habr.com