Vartotojo darbo vieta yra labiausiai pažeidžiama infrastruktūros vieta informacijos saugumo požiūriu. Vartotojai gali gauti laišką į savo darbo el. laišką, kuris atrodo iš saugaus šaltinio, bet su nuoroda į užkrėstą svetainę. Galbūt kas nors atsisiųs darbui naudingą programą iš nežinomos vietos. Taip, galite sugalvoti daugybę atvejų, kaip kenkėjiškos programos gali įsiskverbti į vidinius įmonės resursus per vartotojus. Todėl darbo stotys reikalauja didesnio dėmesio, o šiame straipsnyje mes jums pasakysime, kur ir kokių įvykių imtis norint stebėti atakas.
Kad aptiktų ataką kuo anksčiau, „WIndows“ turi tris naudingus įvykių šaltinius: saugos įvykių žurnalą, sistemos stebėjimo žurnalą ir „Power Shell“ žurnalus.
Saugos įvykių žurnalas
Tai yra pagrindinė sistemos saugos žurnalų saugojimo vieta. Tai apima vartotojo prisijungimo / atsijungimo įvykius, prieigą prie objektų, politikos pakeitimus ir kitą su sauga susijusią veiklą. Žinoma, jei sukonfigūruota atitinkama politika.
Vartotojų ir grupių surašymas (4798 ir 4799 įvykiai). Pačioje atakos pradžioje kenkėjiška programa dažnai ieško vietinėse vartotojų paskyrose ir vietinėse darbo stotyje esančiose grupėse, kad surastų savo slaptų sandorių kredencialus. Šie įvykiai padės aptikti kenkėjišką kodą prieš jam pajudant ir, naudojant surinktus duomenis, išplintant į kitas sistemas.
Vietinės sąskaitos sukūrimas ir vietinių grupių pakeitimai (4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 ir 5377 įvykiai). Ataka taip pat gali prasidėti, pavyzdžiui, įtraukiant naują vartotoją į vietinių administratorių grupę.
Bandymai prisijungti naudojant vietinę paskyrą (įvykis 4624). Gerbiami vartotojai prisijungia naudodami domeno paskyrą, o prisijungimo prie vietinės paskyros nustatymas gali reikšti atakos pradžią. Įvykis 4624 taip pat apima prisijungimus prie domeno paskyros, todėl apdorojant įvykius reikia filtruoti įvykius, kurių domenas skiriasi nuo darbo stoties pavadinimo.
Bandymas prisijungti naudojant nurodytą paskyrą (įvykis 4648). Taip atsitinka, kai procesas veikia „paleisti kaip“ režimu. Tai neturėtų atsitikti normaliai veikiant sistemoms, todėl tokie įvykiai turi būti kontroliuojami.
Darbo vietos užrakinimas/atrakinimas (įvykiai 4800-4803). Įtartinų įvykių kategorija apima visus veiksmus, kurie įvyko užrakintoje darbo vietoje.
Ugniasienės konfigūracijos pakeitimai (įvykiai 4944-4958). Akivaizdu, kad diegiant naują programinę įrangą ugniasienės konfigūracijos parametrai gali pasikeisti, o tai sukels klaidingus teigiamus rezultatus. Daugeliu atvejų tokių pokyčių kontroliuoti nereikia, tačiau apie juos žinoti tikrai nepakenks.
„Plug'n'play“ įrenginių prijungimas (įvykis 6416 ir tik „Windows 10“). Svarbu tai stebėti, jei vartotojai paprastai nejungia naujų įrenginių prie darbo vietos, bet staiga tai daro.
„Windows“ apima 9 audito kategorijas ir 50 subkategorijų, skirtų patikslinti. Minimalus subkategorijų rinkinys, kurį reikia įjungti nustatymuose:
Prisijungimas / atsijungimas
- Prisijungti;
- Atsijungti;
- Sąskaitos blokavimas;
- Kiti prisijungimo / atsijungimo įvykiai.
Sąskaitos valdymas
- Vartotojo abonementų valdymas;
- Apsaugos grupės valdymas.
Politikos pakeitimas
- Audito politikos keitimas;
- Autentifikavimo politikos pakeitimas;
- Autorizacijos politikos pakeitimas.
Sistemos monitorius („Sysmon“)
„Sysmon“ yra sistemoje „Windows“ integruota programa, kuri gali įrašyti įvykius sistemos žurnale. Paprastai jį reikia įdiegti atskirai.
Tuos pačius įvykius iš esmės galima rasti saugos žurnale (įjungus norimą audito politiką), tačiau Sysmon pateikia daugiau informacijos. Kokius įvykius galima paimti iš Sysmon?
Proceso kūrimas (įvykio ID 1). Sistemos saugos įvykių žurnalas taip pat gali pasakyti, kada paleista *.exe, ir netgi parodyti jo pavadinimą bei paleidimo kelią. Tačiau skirtingai nei Sysmon, jis negalės parodyti programos maišos. Kenkėjiška programinė įranga netgi gali būti vadinama nekenksminga notepad.exe, tačiau būtent maiša išryškins ją.
Tinklo ryšiai (3 įvykio ID). Akivaizdu, kad yra daug tinklo jungčių ir jų visų sekti neįmanoma. Tačiau svarbu atsižvelgti į tai, kad Sysmon, skirtingai nei saugos žurnalas, gali susieti tinklo ryšį su ProcessID ir ProcessGUID laukais ir rodo šaltinio bei paskirties prievadą ir IP adresus.
Pakeitimai sistemos registre (įvykio ID 12-14). Lengviausias būdas prisijungti prie automatinio paleidimo yra užsiregistruoti registre. Saugos žurnalas gali tai padaryti, bet Sysmon rodo, kas atliko pakeitimus, kada, iš kur, proceso ID ir ankstesnė rakto reikšmė.
Failo kūrimas (įvykio ID 11). Sysmon, skirtingai nei saugos žurnalas, parodys ne tik failo vietą, bet ir pavadinimą. Aišku, kad negalite visko sekti, bet galite patikrinti tam tikrus katalogus.
O dabar tai, kas nėra saugos žurnalo politikoje, bet yra Sysmon:
Failo sukūrimo laiko pakeitimas (2 įvykio ID). Kai kurios kenkėjiškos programos gali suklaidinti failo sukūrimo datą, kad paslėptų ją nuo neseniai sukurtų failų ataskaitų.
Įkeliamos tvarkyklės ir dinaminės bibliotekos (6–7 įvykių ID). Stebėti DLL ir įrenginių tvarkyklių įkėlimą į atmintį, tikrinti skaitmeninį parašą ir jo galiojimą.
Vykdomame procese sukurkite giją (8 įvykio ID). Viena atakų rūšis, kurią taip pat reikia stebėti.
„RawAccessRead“ įvykiai (9 įvykio ID). Disko skaitymo operacijos naudojant „.“. Daugeliu atvejų tokia veikla turėtų būti laikoma nenormalia.
Sukurkite pavadintą failo srautą (įvykio ID 15). Įvykis registruojamas, kai sukuriamas pavadinto failo srautas, skleidžiantis įvykius su failo turinio maiša.
Vardinio vamzdžio ir sujungimo sukūrimas (įvykio ID 17-18). Kenkėjiško kodo, susisiekiančio su kitais komponentais per pavadintą vamzdį, sekimas.
WMI veikla (įvykio ID 19). Įvykių, sugeneruotų prisijungiant prie sistemos per WMI protokolą, registravimas.
Norėdami apsaugoti patį Sysmon, turite stebėti įvykius su ID 4 (Sysmon sustabdymas ir paleidimas) ir ID 16 (Sysmon konfigūracijos pakeitimai).
Power Shell žurnalai
„Power Shell“ yra galingas „Windows“ infrastruktūros valdymo įrankis, todėl didelė tikimybė, kad jį pasirinks užpuolikas. Yra du šaltiniai, kuriuos galite naudoti norėdami gauti „Power Shell“ įvykių duomenis: „Windows PowerShell“ žurnalą ir „Microsoft-WindowsPowerShell“ / „Operational“ žurnalą.
„Windows PowerShell“ žurnalas
Duomenų teikėjas įkeltas (įvykio ID 600). „PowerShell“ teikėjai yra programos, teikiančios „PowerShell“ duomenų šaltinį peržiūrėti ir valdyti. Pavyzdžiui, integruoti tiekėjai gali būti „Windows“ aplinkos kintamieji arba sistemos registras. Naujų tiekėjų atsiradimas turi būti stebimas, siekiant laiku pastebėti piktybinę veiklą. Pavyzdžiui, jei tarp teikėjų matote WSMan, buvo pradėta nuotolinė „PowerShell“ sesija.
„Microsoft-WindowsPowerShell“ / veikimo žurnalas (arba „MicrosoftWindows-PowerShellCore“ / „Operational PowerShell 6“)
Modulio registravimas (įvykio ID 4103). Įvykiai saugo informaciją apie kiekvieną vykdomą komandą ir parametrus, kuriais ji buvo iškviesta.
Scenarijaus blokavimo registravimas (įvykio ID 4104). Scenarijaus blokavimo registravimas rodo kiekvieną įvykdytą PowerShell kodo bloką. Net jei užpuolikas bando paslėpti komandą, šis įvykio tipas parodys PowerShell komandą, kuri iš tikrųjų buvo įvykdyta. Šis įvykių tipas taip pat gali registruoti kai kuriuos vykdomus žemo lygio API iškvietimus. Šie įvykiai paprastai įrašomi kaip išsamūs, bet jei kodo bloke naudojama įtartina komanda arba scenarijus, jis bus registruojamas kaip įspėjimo sunkumas.
Atminkite, kad kai įrankis bus sukonfigūruotas rinkti ir analizuoti šiuos įvykius, reikės papildomo derinimo laiko, kad būtų sumažintas klaidingų teigiamų rezultatų skaičius.
Komentaruose pasakykite, kokius žurnalus renkate informacijos saugos auditams ir kokius įrankius tam naudojate. Viena iš mūsų dėmesio sričių yra informacijos saugumo įvykių audito sprendimai. Norėdami išspręsti žurnalų rinkimo ir analizės problemą, galime pasiūlyti pažvelgti atidžiau , kuris gali suspausti saugomus duomenis santykiu 20:1, o vienas įdiegtas jo egzempliorius gali apdoroti iki 60000 10000 įvykių per sekundę iš XNUMX XNUMX šaltinių.
Šaltinis: www.habr.com