Å is raksts ir Sysmon draudu analÄ«zes sÄrijas pirmÄ daļa. Visas pÄrÄjÄs sÄrijas daļas:
1. daļa: Ievads Sysmon žurnÄlu analÄ«zÄ (MÄs esam Å”eit)
2. daļa: Sysmon notikumu datu izmantoÅ”ana draudu identificÄÅ”anai
3. daļa. Sysmon draudu padziļinÄta analÄ«ze, izmantojot grafikus
Ja strÄdÄjat informÄcijas droŔības jomÄ, jums, iespÄjams, bieži ir jÄsaprot notiekoÅ”ie uzbrukumi. Ja jums jau ir apmÄcÄ«ta acs, varat meklÄt nestandarta darbÄ«bas neapstrÄdÄtajos neapstrÄdÄtajos žurnÄlos ā piemÄram, PowerShell skripts darbojas.
Vai vÄlaties izprast Sysmon žurnÄlÄ parÄdÄ«to draudu pamatidejas? LejupielÄdÄjiet mÅ«su ceļvedi
MÅ«su sÄrijas pirmajÄ daÄ¼Ä mÄs apskatÄ«sim, ko varat darÄ«t ar pamatinformÄciju no Sysmon. XNUMX. daÄ¼Ä mÄs pilnÄ«bÄ izmantosim vecÄku procesa informÄciju, lai izveidotu sarežģītÄkas atbilstÄ«bas struktÅ«ras, kas pazÄ«stamas kÄ draudu diagrammas. TreÅ”ajÄ daÄ¼Ä mÄs apskatÄ«sim vienkÄrÅ”u algoritmu, kas skenÄ draudu grafiku, lai meklÄtu neparastu darbÄ«bu, analizÄjot diagrammas āsvaruā. Un beigÄs jÅ«s saÅemsiet glÄ«tu (un saprotamu) varbÅ«tÄ«bas draudu noteikÅ”anas metodi.
1. daļa: Ievads Sysmon žurnÄlu analÄ«zÄ
Kas var palÄ«dzÄt izprast notikumu žurnÄla sarežģītÄ«bu? Galu galÄ - SIEM. Tas normalizÄ notikumus un vienkÄrÅ”o to turpmÄko analÄ«zi. Bet mums nav jÄiet tik tÄlu, vismaz ne sÄkumÄ. SÄkumÄ, lai saprastu SIEM principus, pietiks izmÄÄ£inÄt brÄ«niŔķīgo bezmaksas Sysmon utilÄ«tu. Un ar viÅu ir pÄrsteidzoÅ”i viegli strÄdÄt. TÄ turpinÄt, Microsoft!
KÄdas funkcijas ir Sysmon?
ÄŖsÄk sakot - noderÄ«ga un lasÄma informÄcija par procesiem (skat. attÄlus zemÄk). JÅ«s atradÄ«siet virkni noderÄ«gas informÄcijas, kas nav Windows notikumu žurnÄlÄ, taÄu vissvarÄ«gÄkie ir Å”Ädi lauki:
- Procesa ID (decimÄldaļÄs, nevis heksades zÄ«mÄs!)
- VecÄku procesa ID
- ApstrÄdÄjiet komandrindu
- VecÄku procesa komandrinda
- Faila attÄla jaukÅ”ana
- Failu attÄlu nosaukumi
Sysmon ir instalÄts gan kÄ ierÄ«ces draiveris, gan kÄ pakalpojums - sÄ«kÄka informÄcija
Sysmon veic milzÄ«gu lÄcienu uz priekÅ”u, sniedzot noderÄ«gu (vai, kÄ pÄrdevÄjiem patÄ«k teikt, praktisku) informÄciju, kas palÄ«dz izprast pamatÄ esoÅ”os procesus. PiemÄram, es sÄku slepenu sesiju
Windows žurnÄlÄ ir redzama informÄcija par procesu, taÄu no tÄ ir maza nozÄ«me. Plus procesa ID heksadecimÄlÄ???
ProfesionÄlam IT speciÄlistam, kurÅ” saprot uzlauÅ”anas pamatus, komandrindai vajadzÄtu bÅ«t aizdomÄ«gai. Izmantojot cmd.exe, lai pÄc tam palaistu citu komandu un novirzÄ«tu izvadi uz failu ar dÄ«vainu nosaukumu, ir nepÄrprotami lÄ«dzÄ«ga uzraudzÄ«bas un vadÄ«bas programmatÅ«ras darbÄ«bÄm.
Tagad apskatÄ«sim Sysmon ieraksta ekvivalentu, pamanot, cik daudz papildu informÄcijas tas mums sniedz:
Sysmon funkcijas vienÄ ekrÄnuzÅÄmumÄ: detalizÄta informÄcija par procesu lasÄmÄ formÄ
JÅ«s redzat ne tikai komandrindu, bet arÄ« faila nosaukumu, ceļu uz izpildÄmo lietojumprogrammu, to, ko Windows par to zina (āWindows Command Processorā), identifikatoru vecÄku process, komandrinda vecÄks, kas palaida cmd apvalku, kÄ arÄ« vecÄku procesa Ä«sto faila nosaukumu. Viss vienuviet, beidzot!
No Sysmon žurnÄla varam secinÄt, ka ar lielu varbÅ«tÄ«bas pakÄpi Ŕī aizdomÄ«gÄ komandrinda, ko redzÄjÄm āneapstrÄdÄtajosā žurnÄlos, nav darbinieka parastÄ darba rezultÄts. Gluži pretÄji, to Ä£enerÄja C2 lÄ«dzÄ«gs process - wmiexec, kÄ jau minÄju iepriekÅ” -, un to tieÅ”i radÄ«ja WMI pakalpojumu process (WmiPrvSe). Tagad mums ir rÄdÄ«tÄjs, ka attÄlais uzbrucÄjs vai iekÅ”ÄjÄs personas pÄrbauda korporatÄ«vo infrastruktÅ«ru.
IepazÄ«stinÄm ar Get-Sysmonlogs
Protams, tas ir lieliski, kad Sysmon saliek baļķus vienuviet. Bet droÅ”i vien bÅ«tu vÄl labÄk, ja mÄs varÄtu piekļūt atseviŔķiem žurnÄla laukiem programmatiski, piemÄram, izmantojot PowerShell komandas. Å ajÄ gadÄ«jumÄ jÅ«s varÄtu uzrakstÄ«t nelielu PowerShell skriptu, kas automatizÄtu iespÄjamo apdraudÄjumu meklÄÅ”anu!
Es nebiju pirmais, kam tÄda doma radÄs. Un tas ir labi, ka dažos foruma ziÅojumos un GitHub
Pirmais svarÄ«gais punkts ir komandas varÄÅ”ana
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Ja vÄlaties pats pÄrbaudÄ«t komandu, parÄdot saturu $events masÄ«va pirmajÄ elementÄ $events[0].ZiÅojums, izvade var bÅ«t teksta virkÅu sÄrija ar ļoti vienkÄrÅ”u formÄtu: Sysmon lauks, kols un pÄc tam pati vÄrtÄ«ba.
UrrÄ! Sysmon pieteikÅ”anÄs izvadÄ«Å”ana JSON gatavÄ formÄtÄ
Vai tu domÄ to paÅ”u ko es? Ar nedaudz vairÄk pūļu varat pÄrvÄrst izvadi JSON formatÄtÄ virknÄ un pÄc tam ielÄdÄt to tieÅ”i PS objektÄ, izmantojot spÄcÄ«gu komandu.
Es parÄdÄ«Å”u PowerShell kodu konvertÄÅ”anai - tas ir ļoti vienkÄrÅ”i - nÄkamajÄ daļÄ. PagaidÄm apskatÄ«sim, ko spÄj mana jaunÄ komanda get-sysmonlogs, kuru es instalÄju kÄ PS moduli.
TÄ vietÄ, lai iedziļinÄties Sysmon žurnÄla analÄ«zÄ, izmantojot neÄrtu notikumu žurnÄla interfeisu, mÄs varam bez piepÅ«les meklÄt pakÄpenisku darbÄ«bu tieÅ”i no PowerShell sesijas, kÄ arÄ« izmantot PS komandu.
To cmd Äaulu saraksts, kas palaists, izmantojot WMI. LÄti draudu analÄ«ze, izmantojot mÅ«su paÅ”u Get-Sysmonlogs komandu
BrÄ«niŔķīgi! Es izveidoju rÄ«ku Sysmon žurnÄla aptaujai tÄ, it kÄ tÄ bÅ«tu datu bÄze. MÅ«su rakstÄ par
Sismonu un grafiku analīze
AtkÄpsimies un padomÄsim par to, ko tikko radÄ«jÄm. BÅ«tÄ«bÄ mums tagad ir Windows notikumu datu bÄze, kas pieejama, izmantojot PowerShell. KÄ jau minÄju iepriekÅ”, starp ierakstiem pastÄv savienojumi vai attiecÄ«bas, izmantojot ParentProcessId, tÄpÄc var iegÅ«t pilnÄ«gu procesu hierarhiju.
Ja esat lasÄ«jis sÄriju
Bet ar manu Get-Sysmonlogs komandu un papildu datu struktÅ«ru, ko mÄs aplÅ«kosim vÄlÄk tekstÄ (protams, diagramma), mums ir praktisks veids, kÄ noteikt draudus ā tam ir nepiecieÅ”ams veikt pareizo virsotÅu meklÄÅ”anu.
KÄ vienmÄr ar mÅ«su DYI emuÄru projektiem, jo āāvairÄk jÅ«s strÄdÄjat, lai analizÄtu informÄciju par draudiem nelielÄ mÄrogÄ, jo vairÄk jÅ«s sapratÄ«sit, cik sarežģīta ir draudu noteikÅ”ana uzÅÄmuma lÄ«menÄ«. Un Ŕī apziÅa ir ÄrkÄrtÄ«gi liela svarÄ«gs punkts.
Ar pirmajiem interesantajiem sarežģījumiem mÄs saskarsimies raksta otrajÄ daļÄ, kur sÄksim savienot Sysmon notikumus savÄ starpÄ daudz sarežģītÄkÄs struktÅ«rÄs.
Avots: www.habr.com