D'Benotzer Workstation ass dee vulnérabelste Punkt vun der Infrastruktur a punkto Informatiounssécherheet. D'Benotzer kënnen e Bréif un hir Aarbechts-E-Mail kréien, déi aus enger sécherer Quell schéngt, awer mat engem Link op eng infizéiert Site. VlÀicht wÀert iergendeen en Utility eroflueden nëtzlech fir Aarbecht vun enger onbekannter Plaz. Jo, Dir kënnt mat Dosende vu FÀll kommen wéi Malware intern Firmenressourcen duerch Benotzer infiltréiere kann. Dofir erfuerderen d'Aarbechtsstatiounen méi Opmierksamkeet, an an dësem Artikel wÀerte mir Iech soen wou a wéi eng Eventer Dir maache musst fir Attacken ze iwwerwaachen.
Fir en Attack op der fréister méiglecher Stuf z'entdecken, huet Windows drÀi nëtzlech Eventquellen: de Security Event Log, de System Monitoring Log, an d'Power Shell Logs.
SĂ©cherheet Event Log
DĂ«st ass d'Haaptlagerplaz fir System SĂ©cherheetsprotokoller. DĂ«st beinhalt Eventer vum Benotzer Login / Logout, Zougang zu Objeten, Politik Ănnerungen an aner SĂ©cherheetsrelatĂ©iert AktivitĂ©iten. Natierlech, wann dĂ©i entspriechend Politik konfigurĂ©iert ass.
Opzielung vu Benotzer a Gruppen (Evenementer 4798 an 4799). Um Ufank vun engem Attack sicht Malware dacks duerch lokal Benotzerkonten a lokal Gruppen op enger Aarbechtsstatioun fir Umeldungsinformatiounen fir seng schaarf Verhandlungen ze fannen. Dës Eventer hëllefen béiswëlleg Code z'entdecken ier et weidergeet an, mat de gesammelten Donnéeën, op aner Systemer verbreet.
Schafung vun engem lokale Kont an Ănnerungen an de lokale Gruppen (Evenementer 4720, 4722â4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 an 5377). D'Attack kann och ufĂ€nken, zum Beispill, andeems en neie Benotzer an de lokalen Administrateursgrupp bĂ€igefĂŒĂŒgt gĂ«tt.
Login Versich mat engem lokal Kont (Event 4624). Respektable Benotzer aloggen mat engem Domain Kont, an engem Login ënner engem lokal Kont z'identifizéieren kann den Ufank vun engem Attack bedeit. Event 4624 enthÀlt och Login ënner engem Domainkonto, also wann Dir Eventer veraarbecht, musst Dir Eventer filteren wou d'Domain anescht ass wéi den Numm vum Workstation.
E Versuch mat der spezifizéierter Kont aloggen (Event 4648). Dëst geschitt wann de Prozess am "Lafen als" Modus leeft. Dëst sollt net wÀhrend der normaler Operatioun vu Systemer geschéien, sou datt esou Eventer kontrolléiert ginn.
Sperren / SpÀr der Aarbechtsstatioun (Evenementer 4800-4803). D'Kategorie vu verdÀchtegen Eventer enthÀlt all Aktiounen déi op enger gespaarter Workstation geschitt sinn.
Firewall Configuratioun Ănnerungen (Evenementer 4944-4958). Natierlech, wann Dir nei Software installĂ©iert, kĂ«nnen d'Firewall Konfiguratiounsastellungen Ă€nneren, wat falsch Positiver verursaacht. An deene meeschte FĂ€ll ass et net nĂ©ideg sou Ănnerungen ze kontrollĂ©ieren, awer et wĂ€ert definitiv net schueden iwwer si ze wĂ«ssen.
Plug'n'play-GerÀter uschléissen (Evenement 6416 a just fir WIndows 10). Et ass wichteg en Aa op dëst ze halen wann d'Benotzer normalerweis keng nei Apparater mat der Workstation verbannen, awer op eemol maachen se et.
Windows EnthĂ€lt 9 Auditkategorien a 50 Ănnerkategorien fir Feinabstimmung. DĂ©i minimal Zuel vun Ănnerkategorien, dĂ©i an den Astellungen aktivĂ©iert solle sinn:
Umeldung / Ofmeldung
- Aloggen;
- Ausloggen;
- Kont SpÀr;
- Aner Logon / Logoff Eventer.
Account Management
- Benotzerkont Management;
- SĂ©cherheet Group Management.
Politik Ànneren
- Audit Politik Ànneren;
- Authentifikatioun Politik Ànneren;
- Autorisatioun Politik Ànneren.
System Monitor (Sysmon)
Sysmon ass agebaut Windows En Utility, deen Eventer am Systemlog ophuele kann. Et erfuerdert normalerweis eng separat Installatioun.
Déi selwecht Eventer kënnen am Prinzip am Sécherheetsprotokoll fonnt ginn (duerch d'Aktivéiere vun der gewënschter Auditpolitik), awer Sysmon liwwert méi Detailer. Wéi eng Eventer kënne vu Sysmon geholl ginn?
Prozess Kreatioun (Event ID 1). De System Sécherheet Event Log kann Iech och soen wéini e *.exe ugefaang huet a souguer sÀin Numm an de Startwee weisen. Awer am Géigesaz zu Sysmon kann et den Applikatiounshash net weisen. Béisaarteg Software ka souguer harmlos notepad.exe genannt ginn, awer et ass den Hash deen et an d'Liicht bréngt.
Netzwierkverbindungen (Event ID 3). Natierlech gëtt et vill Netzwierkverbindungen, an et ass onméiglech, se all ze verfollegen. Mee et ass wichteg ze bedenken, datt Sysmon, am Géigesaz zum Security Log, eng Netzwierkverbindung mat de Felder ProcessID a ProcessGUID verbannen kann, andeems de Port an ... ugewise ginn. IP Adressen Quell an EmpfÀnger.
Ănnerungen am System Registry (Event ID 12-14). Deen einfachste Wee fir Iech selwer op Autorun ze addĂ©ieren ass Iech an de Registry ze registrĂ©ieren. SĂ©cherheetslog kann dĂ«st maachen, awer Sysmon weist wien d'Ănnerunge gemaach hunn, wĂ©ini, vu wou, Prozess ID an de frĂ©iere SchlĂ«sselwĂ€ert.
Fichier Kreatioun (Event ID 11). Sysmon, am Géigesaz zum Sécherheetslog, weist net nëmmen de Standuert vun der Datei, awer och sÀin Numm. Et ass kloer datt Dir net alles verfollege kënnt, awer Dir kënnt verschidde Verzeichnisser iwwerpréiwen.
An elo wat net an der SĂ©cherheetslogpolitik ass, awer am Sysmon ass:
Ănnerung vun der ErstellungszĂ€it vun der Datei (Event ID 2). E puer Malware kĂ«nnen den Erstellungsdatum vun enger Datei verstoppen fir se vu Berichter iwwer kierzlech erstallt Dateien ze verstoppen.
Luede Chauffeuren an dynamesch BibliothĂ©iken (Event IDs 6-7). Iwwerwachung vun der Luede vun DLLs an Apparat Chauffeuren an ErĂ«nnerung, IwwerprĂ©iwung vun der digitaler ĂnnerschrĂ«ft a seng ValiditĂ©it.
Erstellt e Fuedem an engem lafende Prozess (Event ID 8). Eng Zort Attack déi och muss iwwerwaacht ginn.
RawAccessRead Eventer (Event ID 9). Disk Lies Operatiounen mat ". An der grousser Majoritéit vu FÀll soll esou Aktivitéit als anormal ugesi ginn.
Erstellt e genannten Dateistream (Event ID 15). En Event gëtt protokolléiert wann e genannten Dateistream erstallt gëtt deen Eventer mat engem Hash vum Inhalt vun der Datei emittéiert.
Schafen eng genannt PÀif a Verbindung (Event ID 17-18). Béisaarteg Code verfollegen, dee mat anere Komponenten duerch déi genannte PÀif kommunizéiert.
WMI Aktivitéit (Event ID 19). Aschreiwung vun Eventer déi generéiert ginn wann Dir de System iwwer de WMI Protokoll zougitt.
Fir Sysmon selwer ze schĂŒtzen, musst Dir Eventer iwwerwaachen mat ID 4 (Sysmon stoppt a fĂ€nkt un) an ID 16 (Sysmon KonfiguratiounsĂ€nnerungen).
Power Shell Logbicher
Power Shell ass e mÀchtegt Gestiounsinstrument Windows-infrastruktur, sou datt d'Chancen héich sinn, datt en UgrÀifer se wielt. Zwee Quelle kënne benotzt ginn fir PowerShell-Eventdaten ze kréien: Windows PowerShell-Log a Microsoft-WindowsPowerShell / Operatiounsprotokoll.
Windows PowerShell-Logbuch
Dateprovider gelueden (Event ID 600). PowerShell Providere si Programmer, dĂ©i als Datequell fir PowerShell dĂ©ngen, fir se ze kucken a verwalten. Zum Beispill kĂ«nnen agebaute Providere Ămweltvariablen sinn. Windows oder d'Systemregistrierung. Dir sollt d'Erscheinung vun neie Provideren iwwerwaachen, fir bĂ©iswĂ«lleg AktivitĂ©iten direkt z'entdecken. Zum Beispill, wann Dir WSMan als Provider gesitt, heescht dat, datt eng Remote PowerShell-Sessioun initiĂ©iert gouf.
Microsoft-WindowsPowerShell / Operatiounsprotokoll (oder MicrosoftWindows-PowerShellCore/Operativ a PowerShell 6)
Modul Logging (Event ID 4103). Eventer spÀicheren Informatioun iwwer all ausgefouert Kommando an d'Parameteren mat deenen et genannt gouf.
Skript blockéiert Logbicher (Event ID 4104). Skript Blockéierungsprotokoll weist all ausgefouert Block vum PowerShell Code. Och wann en UgrÀifer probéiert de Kommando ze verstoppen, weist dësen Eventtyp de PowerShell Kommando deen tatsÀchlech ausgefouert gouf. Dësen Eventtyp kann och e puer Low-Level API-Uriff protokolléieren, déi gemaach ginn, dës Eventer ginn normalerweis als Verbose opgeholl, awer wann e verdÀchtegt Kommando oder e Skript an engem Codeblock benotzt gëtt, gëtt et als Warnungsgrad protokolléiert.
Notéiert w.e.g. datt wann d'Tool konfiguréiert ass fir dës Eventer ze sammelen an ze analyséieren, gëtt zousÀtzlech Debugging ZÀit erfuerderlech fir d'Zuel vu falschen Positiven ze reduzéieren.
Sot eis an de Kommentarer wéi eng Logbicher Dir sammelt fir Informatiounssécherheetsaudits a wéi eng Tools Dir dofir benotzt. Ee vun eise FokusberÀicher ass Léisunge fir d'Audit vun Informatiounssécherheetsevenementer. Fir de Problem vun der Sammelen an der Analyse vun Logbicher ze léisen, kënne mir proposéieren e méi no ze kucken , déi gespÀichert Daten mat engem VerhÀltnis vun 20:1 kompriméiere kann, an eng installéiert Instanz dovun ass fÀeg bis zu 60000 Eventer pro Sekonn aus 10000 Quellen ze veraarbecht.
Source: will.com
