D'Benotzer Workstation ass dee vulnérabelste Punkt vun der Infrastruktur a punkto Informatiounssécherheet. D'Benotzer kënnen e Bréif un hir Aarbechts-E-Mail kréien, déi aus enger sécherer Quell schéngt, awer mat engem Link op eng infizéiert Site. Vläicht wäert iergendeen en Utility eroflueden nëtzlech fir Aarbecht vun enger onbekannter Plaz. Jo, Dir kënnt mat Dosende vu Fäll kommen wéi Malware intern Firmenressourcen duerch Benotzer infiltréiere kann. Dofir erfuerderen d'Aarbechtsstatiounen méi Opmierksamkeet, an an dësem Artikel wäerte mir Iech soen wou a wéi eng Eventer Dir maache musst fir Attacken ze iwwerwaachen.
Fir en Attack op der fréister méiglecher Stuf z'entdecken, huet Windows dräi nëtzlech Eventquellen: de Security Event Log, de System Monitoring Log, an d'Power Shell Logs.
Sécherheet Event Log
Dëst ass d'Haaptlagerplaz fir System Sécherheetsprotokoller. Dëst beinhalt Eventer vum Benotzer Login / Logout, Zougang zu Objeten, Politik Ännerungen an aner Sécherheetsrelatéiert Aktivitéiten. Natierlech, wann déi entspriechend Politik konfiguréiert ass.
Opzielung vu Benotzer a Gruppen (Evenementer 4798 an 4799). Um Ufank vun engem Attack sicht Malware dacks duerch lokal Benotzerkonten a lokal Gruppen op enger Aarbechtsstatioun fir Umeldungsinformatiounen fir seng schaarf Verhandlungen ze fannen. Dës Eventer hëllefen béiswëlleg Code z'entdecken ier et weidergeet an, mat de gesammelten Donnéeën, op aner Systemer verbreet.
Schafung vun engem lokale Kont an Ännerungen an de lokale Gruppen (Evenementer 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 an 5377). D'Attack kann och ufänken, zum Beispill, andeems en neie Benotzer an de lokalen Administrateursgrupp bäigefüügt gëtt.
Login Versich mat engem lokal Kont (Event 4624). Respektable Benotzer aloggen mat engem Domain Kont, an engem Login ënner engem lokal Kont z'identifizéieren kann den Ufank vun engem Attack bedeit. Event 4624 enthält och Login ënner engem Domainkonto, also wann Dir Eventer veraarbecht, musst Dir Eventer filteren wou d'Domain anescht ass wéi den Numm vum Workstation.
E Versuch mat der spezifizéierter Kont aloggen (Event 4648). Dëst geschitt wann de Prozess am "Lafen als" Modus leeft. Dëst sollt net während der normaler Operatioun vu Systemer geschéien, sou datt esou Eventer kontrolléiert ginn.
Sperren / Spär der Aarbechtsstatioun (Evenementer 4800-4803). D'Kategorie vu verdächtegen Eventer enthält all Aktiounen déi op enger gespaarter Workstation geschitt sinn.
Firewall Configuratioun Ännerungen (Evenementer 4944-4958). Natierlech, wann Dir nei Software installéiert, kënnen d'Firewall Konfiguratiounsastellungen änneren, wat falsch Positiver verursaacht. An deene meeschte Fäll ass et net néideg sou Ännerungen ze kontrolléieren, awer et wäert definitiv net schueden iwwer si ze wëssen.
Connecting Plug'n'play Apparater (Event 6416 an nëmme fir Windows 10). Et ass wichteg en Aa op dëst ze halen wann d'Benotzer normalerweis keng nei Apparater mat der Workstation verbannen, awer op eemol maachen se et.
Windows enthält 9 Auditkategorien an 50 Ënnerkategorien fir d'Feintuning. De Minimum Set vun Ënnerkategorien, déi an den Astellungen ageschalt solle ginn:
Umeldung / Ofmeldung
- Aloggen;
- Ausloggen;
- Kont Spär;
- Aner Logon / Logoff Eventer.
Account Management
- Benotzerkont Management;
- Sécherheet Group Management.
Politik änneren
- Audit Politik änneren;
- Authentifikatioun Politik änneren;
- Autorisatioun Politik änneren.
System Monitor (Sysmon)
Sysmon ass en Utility a Windows agebaut deen Eventer am Systemprotokoll ophuelen kann. Normalerweis musst Dir et separat installéieren.
Déi selwecht Eventer kënnen am Prinzip am Sécherheetsprotokoll fonnt ginn (duerch d'Aktivéiere vun der gewënschter Auditpolitik), awer Sysmon liwwert méi Detailer. Wéi eng Eventer kënne vu Sysmon geholl ginn?
Prozess Kreatioun (Event ID 1). De System Sécherheet Event Log kann Iech och soen wéini e *.exe ugefaang huet a souguer säin Numm an de Startwee weisen. Awer am Géigesaz zu Sysmon kann et den Applikatiounshash net weisen. Béisaarteg Software ka souguer harmlos notepad.exe genannt ginn, awer et ass den Hash deen et an d'Liicht bréngt.
Netzwierkverbindungen (Event ID 3). Natierlech ginn et vill Netzwierkverbindungen, an et ass onméiglech se all ze verfollegen. Awer et ass wichteg ze berécksiichtegen datt Sysmon, am Géigesaz zum selwechte Sécherheetslog, eng Netzwierkverbindung un d'ProcessID a ProcessGUID Felder ka bindelen, a weist den Hafen an d'IP Adresse vun der Quell an der Destinatioun.
Ännerungen am System Registry (Event ID 12-14). Deen einfachste Wee fir Iech selwer op Autorun ze addéieren ass Iech an de Registry ze registréieren. Sécherheetslog kann dëst maachen, awer Sysmon weist wien d'Ännerunge gemaach hunn, wéini, vu wou, Prozess ID an de fréiere Schlësselwäert.
Fichier Kreatioun (Event ID 11). Sysmon, am Géigesaz zum Sécherheetslog, weist net nëmmen de Standuert vun der Datei, awer och säin Numm. Et ass kloer datt Dir net alles verfollege kënnt, awer Dir kënnt verschidde Verzeichnisser iwwerpréiwen.
An elo wat net an der Sécherheetslogpolitik ass, awer am Sysmon ass:
Ännerung vun der Erstellungszäit vun der Datei (Event ID 2). E puer Malware kënnen den Erstellungsdatum vun enger Datei verstoppen fir se vu Berichter iwwer kierzlech erstallt Dateien ze verstoppen.
Luede Chauffeuren an dynamesch Bibliothéiken (Event IDs 6-7). Iwwerwachung vun der Luede vun DLLs an Apparat Chauffeuren an Erënnerung, Iwwerpréiwung vun der digitaler Ënnerschrëft a seng Validitéit.
Erstellt e Fuedem an engem lafende Prozess (Event ID 8). Eng Zort Attack déi och muss iwwerwaacht ginn.
RawAccessRead Eventer (Event ID 9). Disk Lies Operatiounen mat ". An der grousser Majoritéit vu Fäll soll esou Aktivitéit als anormal ugesi ginn.
Erstellt e genannten Dateistream (Event ID 15). En Event gëtt protokolléiert wann e genannten Dateistream erstallt gëtt deen Eventer mat engem Hash vum Inhalt vun der Datei emittéiert.
Schafen eng genannt Päif a Verbindung (Event ID 17-18). Béisaarteg Code verfollegen, dee mat anere Komponenten duerch déi genannte Päif kommunizéiert.
WMI Aktivitéit (Event ID 19). Aschreiwung vun Eventer déi generéiert ginn wann Dir de System iwwer de WMI Protokoll zougitt.
Fir Sysmon selwer ze schützen, musst Dir Eventer iwwerwaachen mat ID 4 (Sysmon stoppt a fänkt un) an ID 16 (Sysmon Konfiguratiounsännerungen).
Power Shell Logbicher
Power Shell ass e mächtegt Tool fir Windows Infrastruktur ze managen, sou datt d'Chancen héich sinn datt en Ugräifer et wäert wielen. Et ginn zwou Quellen déi Dir benotze kënnt fir Power Shell Eventdaten ze kréien: Windows PowerShell Log a Microsoft-WindowsPowerShell/Operational Log.
Windows PowerShell Log
Dateprovider gelueden (Event ID 600). PowerShell Ubidder sinn Programmer déi eng Quell vun Daten fir PowerShell ubidden fir ze gesinn a managen. Zum Beispill, agebaute Fournisseuren kéinte Windows Ëmfeldvariablen oder de Systemregister sinn. D'Entstoe vun neie Fournisseuren muss iwwerwaacht ginn fir béiswëlleg Aktivitéit an der Zäit z'entdecken. Zum Beispill, wann Dir WSMan gesitt ënnert de Ubidder erschéngen, da gouf eng Remote PowerShell Sessioun gestart.
Microsoft-WindowsPowerShell / Operational Log (oder MicrosoftWindows-PowerShellCore / Operational in PowerShell 6)
Modul Logging (Event ID 4103). Eventer späicheren Informatioun iwwer all ausgefouert Kommando an d'Parameteren mat deenen et genannt gouf.
Skript blockéiert Logbicher (Event ID 4104). Skript Blockéierungsprotokoll weist all ausgefouert Block vum PowerShell Code. Och wann en Ugräifer probéiert de Kommando ze verstoppen, weist dësen Eventtyp de PowerShell Kommando deen tatsächlech ausgefouert gouf. Dësen Eventtyp kann och e puer Low-Level API-Uriff protokolléieren, déi gemaach ginn, dës Eventer ginn normalerweis als Verbose opgeholl, awer wann e verdächtegt Kommando oder e Skript an engem Codeblock benotzt gëtt, gëtt et als Warnungsgrad protokolléiert.
Notéiert w.e.g. datt wann d'Tool konfiguréiert ass fir dës Eventer ze sammelen an ze analyséieren, gëtt zousätzlech Debugging Zäit erfuerderlech fir d'Zuel vu falschen Positiven ze reduzéieren.
Sot eis an de Kommentarer wéi eng Logbicher Dir sammelt fir Informatiounssécherheetsaudits a wéi eng Tools Dir dofir benotzt. Ee vun eise Fokusberäicher ass Léisunge fir d'Audit vun Informatiounssécherheetsevenementer. Fir de Problem vun der Sammelen an der Analyse vun Logbicher ze léisen, kënne mir proposéieren e méi no ze kucken , déi gespäichert Daten mat engem Verhältnis vun 20:1 kompriméiere kann, an eng installéiert Instanz dovun ass fäeg bis zu 60000 Eventer pro Sekonn aus 10000 Quellen ze veraarbecht.
Source: will.com