Lietotāja darbstacija ir visneaizsargātākais infrastruktūras punkts informācijas drošības ziņā. Lietotāji uz darba e-pastu var saņemt vēstuli, kas, šķiet, ir no droša avota, bet ar saiti uz inficētu vietni. Varbūt kāds no nezināmas vietas lejupielādēs darbam noderīgu utilītu. Jā, jūs varat nākt klajā ar desmitiem gadījumu, kā ļaunprātīga programmatūra caur lietotājiem var iefiltrēties uzņēmuma iekšējos resursos. Tāpēc darbstacijām ir jāpievērš pastiprināta uzmanība, un šajā rakstā mēs jums pateiksim, kur un kādi pasākumi jāveic, lai uzraudzītu uzbrukumus.
Lai atklātu uzbrukumu pēc iespējas agrākā stadijā, programmai WIndows ir trīs noderīgi notikumu avoti: drošības notikumu žurnāls, sistēmas uzraudzības žurnāls un Power Shell žurnāli.
Drošības notikumu žurnāls
Šī ir galvenā sistēmas drošības žurnālu glabāšanas vieta. Tas ietver lietotāja pieteikšanās/atteikšanās notikumus, piekļuvi objektiem, politikas izmaiņas un citas ar drošību saistītas darbības. Protams, ja ir konfigurēta atbilstošā politika.
Lietotāju un grupu uzskaitījums (4798. un 4799. notikums). Uzbrukuma pašā sākumā ļaunprogrammatūra bieži veic meklēšanu vietējos lietotāju kontos un vietējās grupās darbstacijā, lai atrastu akreditācijas datus saviem ēnas darījumiem. Šie notikumi palīdzēs atklāt ļaunprātīgu kodu, pirms tas tiek pārvietots un, izmantojot savāktos datus, izplatās citās sistēmās.
Vietējā konta izveide un izmaiņas lokālajās grupās (pasākumi 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 un 5377). Uzbrukums var sākties arī, piemēram, pievienojot jaunu lietotāju lokālo administratoru grupai.
Pieteikšanās mēģinājumi, izmantojot vietējo kontu (notikums 4624). Cienījami lietotāji piesakās, izmantojot domēna kontu, un pieteikšanās identificēšana vietējā kontā var nozīmēt uzbrukuma sākumu. Notikums 4624 ietver arī pieteikšanos domēna kontā, tāpēc, apstrādājot notikumus, jums ir jāfiltrē notikumi, kuru domēns atšķiras no darbstacijas nosaukuma.
Mēģinājums pieteikties ar norādīto kontu (notikums 4648). Tas notiek, kad process darbojas režīmā “Palaist kā”. Normālas sistēmu darbības laikā tam nevajadzētu notikt, tāpēc šādi notikumi ir jākontrolē.
Darbstacijas bloķēšana/atbloķēšana (notikumi 4800-4803). Aizdomīgo notikumu kategorijā ietilpst visas darbības, kas notikušas bloķētā darbstacijā.
Ugunsmūra konfigurācijas izmaiņas (notikumi 4944-4958). Acīmredzot, instalējot jaunu programmatūru, var mainīties ugunsmūra konfigurācijas iestatījumi, kas radīs viltus pozitīvus rezultātus. Vairumā gadījumu šādas izmaiņas nav jākontrolē, taču par tām noteikti nenāks par ļaunu.
Plug'n'play ierīču pievienošana (notikums 6416 un tikai operētājsistēmai Windows 10). Ir svarīgi tam sekot, ja lietotāji parasti nepievieno jaunas ierīces darbstacijai, bet pēkšņi to dara.
Sistēmā Windows ir 9 audita kategorijas un 50 apakškategorijas precizēšanai. Minimālais apakškategoriju kopums, kas jāiespējo iestatījumos:
Pieteikšanās / Atteikšanās
- Ielogoties;
- Izlogoties;
- Konta bloķēšana;
- Citi pieteikšanās/atteikšanās notikumi.
Konta vadība
- Lietotāja konta pārvaldība;
- Drošības grupu vadība.
Politikas maiņa
- Revīzijas politikas maiņa;
- Autentifikācijas politikas maiņa;
- Autorizācijas politikas maiņa.
Sistēmas monitors (Sysmon)
Sysmon ir sistēmā Windows iebūvēta utilīta, kas var ierakstīt notikumus sistēmas žurnālā. Parasti tas ir jāinstalē atsevišķi.
Šos pašus notikumus principā var atrast drošības žurnālā (iespējojot vēlamo audita politiku), taču Sysmon sniedz sīkāku informāciju. Kādus notikumus var ņemt no Sysmon?
Procesa izveide (notikuma ID 1). Sistēmas drošības notikumu žurnāls var arī norādīt, kad *.exe ir palaists, un pat parādīt tā nosaukumu un palaišanas ceļu. Bet atšķirībā no Sysmon tas nevarēs parādīt lietojumprogrammas hash. Ļaunprātīgu programmatūru var pat saukt par nekaitīgu notepad.exe, taču tieši hash to parādīs gaismā.
Tīkla savienojumi (3. notikuma ID). Acīmredzot ir daudz tīkla savienojumu, un nav iespējams tiem visiem izsekot. Bet ir svarīgi ņemt vērā, ka Sysmon, atšķirībā no tā paša drošības žurnāla, var saistīt tīkla savienojumu ar ProcessID un ProcessGUID laukiem un parāda avota un galamērķa portu un IP adreses.
Izmaiņas sistēmas reģistrā (notikuma ID 12-14). Vienkāršākais veids, kā pievienot sevi automātiskajai palaišanai, ir reģistrēties reģistrā. Drošības žurnāls to var izdarīt, bet Sysmon parāda, kurš veicis izmaiņas, kad, no kurienes, procesa ID un iepriekšējā atslēgas vērtība.
Faila izveide (notikuma ID 11). Sysmon, atšķirībā no drošības žurnāla, parādīs ne tikai faila atrašanās vietu, bet arī tā nosaukumu. Ir skaidrs, ka jūs nevarat izsekot visam, bet jūs varat pārbaudīt noteiktus direktorijus.
Un tagad tas, kas nav drošības žurnāla politikās, bet ir Sysmon:
Faila izveides laika maiņa (Notikuma ID 2). Dažas ļaunprātīgas programmatūras var maldināt faila izveides datumu, lai paslēptu to no pārskatiem par nesen izveidotajiem failiem.
Notiek draiveru un dinamisko bibliotēku ielāde (notikumu ID 6–7). DLL un ierīču draiveru ielādes uzraudzība atmiņā, ciparparaksta un tā derīguma pārbaude.
Izveidojiet pavedienu darbības procesā (notikuma ID 8). Viens uzbrukuma veids, kas arī jāuzrauga.
RawAccessRead notikumi (notikuma ID 9). Diska lasīšanas darbības, izmantojot “.”. Lielākajā daļā gadījumu šāda darbība ir jāuzskata par neparastu.
Izveidojiet faila straumi ar nosaukumu (notikuma ID 15). Notikums tiek reģistrēts, kad tiek izveidota faila straume ar nosaukumu, kas izstaro notikumus ar faila satura jauktu.
Nosauktas caurules un savienojuma izveide (notikuma ID 17-18). Ļaunprātīga koda izsekošana, kas sazinās ar citiem komponentiem, izmantojot nosaukto cauruli.
WMI darbība (notikuma ID 19). To notikumu reģistrācija, kas tiek ģenerēti, piekļūstot sistēmai, izmantojot WMI protokolu.
Lai aizsargātu pašu Sysmon, jums ir jāuzrauga notikumi ar ID 4 (Sysmon apturēšana un palaišana) un ID 16 (Sysmon konfigurācijas izmaiņas).
Power Shell žurnāli
Power Shell ir spēcīgs Windows infrastruktūras pārvaldības rīks, tāpēc pastāv liela iespēja, ka uzbrucējs to izvēlēsies. Ir divi avoti, kurus varat izmantot, lai iegūtu Power Shell notikumu datus: Windows PowerShell žurnāls un Microsoft-WindowsPowerShell/Operational žurnāls.
Windows PowerShell žurnāls
Datu nodrošinātājs ir ielādēts (notikuma ID 600). PowerShell nodrošinātāji ir programmas, kas nodrošina datu avotu PowerShell skatīšanai un pārvaldībai. Piemēram, iebūvētie pakalpojumu sniedzēji var būt Windows vides mainīgie vai sistēmas reģistrs. Ir jāuzrauga jaunu piegādātāju parādīšanās, lai savlaicīgi atklātu ļaunprātīgu darbību. Piemēram, ja starp nodrošinātājiem redzat WSMan, tad ir sākta attālā PowerShell sesija.
Microsoft-WindowsPowerShell/operāciju žurnāls (vai MicrosoftWindows-PowerShellCore/Operational programmā PowerShell 6)
Moduļa reģistrēšana (notikuma ID 4103). Notikumi saglabā informāciju par katru izpildīto komandu un parametriem, ar kuriem tā tika izsaukta.
Skriptu bloķēšanas reģistrēšana (notikuma ID 4104). Skriptu bloķēšanas reģistrēšana parāda katru izpildīto PowerShell koda bloku. Pat ja uzbrucējs mēģina paslēpt komandu, šis notikuma veids parādīs PowerShell komandu, kas faktiski tika izpildīta. Šis notikuma veids var reģistrēt arī dažus zema līmeņa API izsaukumus. Šie notikumi parasti tiek reģistrēti kā detalizēti, taču, ja koda blokā tiek izmantota aizdomīga komanda vai skripts, tas tiks reģistrēts kā brīdinājuma smaguma pakāpe.
Lūdzu, ņemiet vērā: tiklīdz rīks ir konfigurēts, lai apkopotu un analizētu šos notikumus, būs nepieciešams papildu atkļūdošanas laiks, lai samazinātu viltus pozitīvu rezultātu skaitu.
Pastāstiet mums komentāros, kādus žurnālus apkopojat informācijas drošības auditiem un kādus rīkus tam izmantojat. Viena no mūsu darbības jomām ir risinājumi informācijas drošības notikumu auditēšanai. Lai atrisinātu žurnālu savākšanas un analīzes problēmu, mēs varam ieteikt to aplūkot tuvāk , kas var saspiest saglabātos datus ar attiecību 20:1, un viena tā instalētā instance spēj apstrādāt līdz 60000 10000 notikumu sekundē no XNUMX XNUMX avotiem.
Avots: www.habr.com