Ny toeram-piasan'ny mpampiasa no toerana marefo indrindra amin'ny fotodrafitrasa amin'ny lafiny fiarovana ny vaovao. Ny mpampiasa dia mety hahazo taratasy amin'ny mailaka miasa izay toa avy amin'ny loharano azo antoka, saingy misy rohy mankany amin'ny tranokala voa. Angamba misy olona haka fitaovana ilaina amin'ny asa amin'ny toerana tsy fantatra. Eny, afaka mahita tranga am-polony ianao momba ny fomba ahafahan'ny malware miditra amin'ny loharanon'ny orinasa anatiny amin'ny alΓ lan'ny mpampiasa. Noho izany, ny toeram-piasana dia mitaky fiheverana bebe kokoa, ary amin'ity lahatsoratra ity dia holazainay aminao hoe aiza sy inona ny hetsika tokony hatao hanaraha-maso ny fanafihana.
Mba hahitana fanafihana amin'ny dingana faran'izay haingana indrindra dia manana loharanon-javatra telo mahasoa ny Windows: ny Security Event Log, ny System Monitoring Log, ary ny Power Shell Logs.
Security Event Log
Ity no toerana fitehirizana lehibe ho an'ny diarin'ny fiarovana ny rafitra. Tafiditra ao anatin'izany ny hetsika momba ny fidiran'ny mpampiasa/fisoratana anarana, ny fidirana amin'ny zavatra, ny fiovan'ny politika ary ny hetsika hafa mifandraika amin'ny fiarovana. Mazava ho azy, raha ny politika mifanaraka amin'izany no amboarina.
Fanisana ireo mpampiasa sy vondrona (hetsika 4798 sy 4799). Amin'ny fiandohan'ny fanafihana, matetika ny malware dia mikaroka amin'ny alΓ lan'ny kaonty mpampiasa eo an-toerana sy vondrona eo an-toerana eo amin'ny toeram-piasana iray mba hahitana ny mari-pamantarana momba ny fifampiraharahana alokaloka. Ireo hetsika ireo dia hanampy hamantatra ny kaody ratsy alohan'ny hizorany ary, amin'ny fampiasana ny angona voaangona, dia miparitaka any amin'ny rafitra hafa.
Famoronana kaonty eo an-toerana sy fanovana vondrona eo an-toerana (hetsika 4720, 4722β4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 ary 5377). Afaka manomboka ihany koa ny fanafihana, ohatra, amin'ny fampidirana mpampiasa vaovao amin'ny vondrona mpitantana eo an-toerana.
Andrana fidirana amin'ny kaonty eo an-toerana (hetsika 4624). Ireo mpampiasa mendri-kaja dia miditra amin'ny kaonty domaine, ary ny famantarana ny fidirana amin'ny kaonty eo an-toerana dia mety midika hoe fanombohana fanafihana. Ny hetsika 4624 dia ahitana ny fidirana ao ambanin'ny kaonty domaine, ka rehefa mikarakara hetsika ianao dia mila manivana hetsika izay tsy mitovy amin'ny anaran'ny toeram-piasana ny sehatra.
Andrana hiditra amin'ny kaonty voatondro (hetsika 4648). Mitranga izany rehefa mandeha amin'ny fomba "run as" ny dingana. Tsy tokony hitranga izany mandritra ny fampandehanana ara-dalΓ na ny rafitra, noho izany dia tsy maintsy fehezina ny hetsika toy izany.
Fanidiana/famoahana ny toeram-piasana (hetsika 4800-4803). Ny sokajin'ny hetsika mampiahiahy dia ahitana ny hetsika rehetra nitranga tao amin'ny toeram-piasana mihidy.
Fanovana fanitsiana ny firewall (hetsika 4944-4958). Mazava ho azy, rehefa mametraka rindrambaiko vaovao, dia mety hiova ny firafitry ny firewall, izay hiteraka vokatra diso. Amin'ny ankabeazan'ny toe-javatra, tsy ilaina ny mifehy ny fiovana toy izany, saingy azo antoka fa tsy handratra ny fahafantarana azy ireo.
Mampifandray fitaovana Plug'n'play (hetsika 6416 ary ho an'ny Windows 10 ihany). Zava-dehibe ny manara-maso an'izany raha matetika ny mpampiasa dia tsy mampifandray fitaovana vaovao amin'ny toeram-piasana, fa tampoka dia manao izany izy ireo.
Ny Windows dia ahitana sokajy 9 fanaraha-maso sy sokajy 50 ho an'ny fanitsiana tsara. Ny andiany kely indrindra amin'ny zana-tsokajy izay tokony ho alefa amin'ny toe-javatra:
Logon / Logoff
- Logon;
- Hivoaka;
- Account Lockout;
- Hetsika Logon/Logoff hafa.
Account Management
- Fitantanana kaonty mpampiasa;
- Security Group Management.
Fiovana politika
- Fanovana Politika Fanamarinana;
- Fanovana Politika Fanamarinana;
- Fanovana Politika Fanomezana.
System Monitor (Sysmon)
Sysmon dia fitaovana natsangana tao amin'ny Windows izay afaka mirakitra ny hetsika ao amin'ny log system. Matetika dia mila mametraka azy misaraka ianao.
Ireo fisehoan-javatra mitovy ireo dia mety ho hita ao amin'ny diarin'ny fiarovana (amin'ny alΓ lan'ny fampandehanana ny politikan'ny fanaraha-maso irina), saingy manome antsipiriany bebe kokoa i Sysmon. Inona avy ireo hetsika azo raisina avy amin'i Sysmon?
Famoronana dingana (ID 1). Ny diarin'ny hetsika fiarovana amin'ny rafitra dia afaka milaza aminao ihany koa ny fotoana nanombohan'ny *.exe ary na dia mampiseho ny anarany sy ny lalan'ny fandefasana aza. Saingy tsy toa an'i Sysmon, tsy ho afaka hampiseho ny hash fampiharana. Mety hantsoina hoe notepad.exe tsy mampidi-doza mihitsy aza ny lozisialy maloto, fa ny hash no hanazava azy.
Fifandraisana amin'ny tambajotra (ID 3). Mazava ho azy fa be dia be ny fifandraisana amin'ny tambajotra, ary tsy azo atao ny manara-maso azy rehetra. Fa zava-dehibe ny mandinika fa Sysmon, tsy toy ny Security Log, dia afaka mamatotra ny tambajotra fifandraisana amin'ny ProcessID sy ProcessGUID saha, ary mampiseho ny seranan-tsambo sy ny adiresy IP ny loharano sy ny toerana.
Fanovana ao amin'ny rejisitra rafitra (event ID 12-14). Ny fomba tsotra indrindra hampidirana ny tenanao amin'ny autorun dia ny fisoratana anarana ao amin'ny rejisitra. Ny Security Log dia afaka manao izany, fa i Sysmon kosa dia mampiseho hoe iza no nanao ny fanovana, rahoviana, avy aiza, ny ID sy ny sanda fototra teo aloha.
Famoronana rakitra (ID 11). Sysmon, tsy toy ny Security Log, dia tsy ny toerana misy ny rakitra ihany, fa ny anarany ihany koa. Mazava fa tsy afaka manara-maso ny zava-drehetra ianao, fa afaka manara-maso ny lahatahiry sasany.
Ary ankehitriny izay tsy ao amin'ny politikan'ny Security Log, fa ao amin'ny Sysmon:
Fanovana ny fotoana famoronana rakitra (Event ID 2). Ny malware sasany dia afaka mamitaka ny datin'ny famoronana rakitra mba hanafenana azy amin'ny tatitra momba ny rakitra vao noforonina.
Mametraka mpamily sy tranomboky mavitrika (IDs hetsika 6-7). Fanaraha-maso ny fametahana ny DLL sy ny mpamily fitaovana ho fahatsiarovana, manamarina ny sonia nomerika sy ny maha-ara-dalΓ na azy.
Mamorona kofehy amin'ny dingana mihazakazaka (ID 8). Karazana fanafihana iray izay mila arahi-maso ihany koa.
RawAccessRead Events (Event ID 9). Hetsika famakiana kapila mampiasa ".". Amin'ny ankamaroan'ny tranga, ny hetsika toy izany dia tokony hoheverina ho tsy ara-dalΓ na.
Mamorona rindran-drakitra nomena anarana (ID 15). Ny hetsika dia voarakitra rehefa noforonina ny rindran-drakitra nomena anarana izay mamoaka hetsika miaraka amin'ny hash amin'ny atiny.
Mamorona fantsona sy fifandraisana (ID 17-18 hetsika). Fanaraha-maso kaody ratsy izay mifandray amin'ny singa hafa amin'ny alΓ lan'ny fantsona nomena anarana.
Hetsika WMI (event ID 19). Fisoratana anarana hetsika izay novokarina rehefa miditra amin'ny rafitra amin'ny alΓ lan'ny protocol WMI.
Mba hiarovana an'i Sysmon tenany dia mila manara-maso ny hetsika miaraka amin'ny ID 4 (Sysmon mijanona sy manomboka) ary ID 16 (fiovan'ny configuration Sysmon).
Power Shell Logs
Power Shell dia fitaovana mahery vaika amin'ny fitantanana fotodrafitrasa Windows, noho izany dia lehibe ny vintana hisafidianan'ny mpanafika azy. Misy loharano roa azonao ampiasaina hahazoana angon-drakitra hetsika Power Shell: Log Windows PowerShell sy log Microsoft-WindowsPowerShell/Operational.
Windows PowerShell log
Mpanome angona feno (ID 600). Ny mpamatsy PowerShell dia programa manome loharano angon-drakitra hojerena sy hitantanana ny PowerShell. Ohatra, ny mpamatsy naorina dia mety ho fari-piainan'ny tontolo iainana Windows na ny rejisitra rafitra. Ny fiposahan'ireo mpamatsy vaovao dia tsy maintsy araha-maso mba hahitana ny asa ratsy ara-potoana. Ohatra, raha mahita WSman miseho eo amin'ireo mpamatsy ianao, dia efa nanomboka ny fivoriana PowerShell lavitra.
Microsoft-WindowsPowerShell / Log operation (na MicrosoftWindows-PowerShellCore / Operation ao amin'ny PowerShell 6)
logging Module (event ID 4103). Ny hetsika dia mitahiry fampahalalana momba ny baiko vita sy ny mari-pamantarana niantsoana azy.
Script fanakanana ny logging (hetsika ID 4104). Ny logging blocking script dia mampiseho ny sakana rehetra amin'ny kaody PowerShell vita. Na dia manandrana manafina ny baiko aza ny mpanafika, ity karazana hetsika ity dia hampiseho ny baiko PowerShell izay tena novonoina. Ity karazana hetsika ity ihany koa dia afaka manoratra antso avo lenta amin'ny API atao, ireo hetsika ireo dia matetika voarakitra ho Verbose, fa raha misy baiko na script mampiahiahy ampiasaina amin'ny andian-kaody dia hosoratana ho toy ny hamafin'ny fampitandremana izany.
Mariho fa rehefa voarindra hanangona sy hamakafaka ireo hetsika ireo ny fitaovana, dia ilaina ny fotoana debug fanampiny mba hampihenana ny isan'ny valiny diso.
Lazao anay ao amin'ny fanehoan-kevitra hoe inona ny logs angoninao ho an'ny fanaraha-maso ny fiarovana ny vaovao sy ny fitaovana ampiasainao amin'izany. Iray amin'ireo sehatra ifantohanay ny vahaolana amin'ny fanaraha-maso ny hetsika fiarovana ny fampahalalam-baovao. Mba hamahana ny olana amin'ny fanangonana sy famakafakana dia azonay atao ny manoro hevitra ny hijery akaiky , izay afaka manindry ny angona voatahiry amin'ny tahan'ny 20: 1, ary ny ohatra iray napetraka amin'izany dia afaka manodina hetsika hatramin'ny 60000 isan-tsegondra avy amin'ny loharano 10000.
Source: www.habr.com