Ny famoahana ny version 12 an'ny Sysmon dia nambara tamin'ny 17 septambra tao amin'ny
Ny fampahalalana avy amin'ity karazana hetsika ity dia manokatra fahafahana vaovao hanaraha-maso ny hetsika mampiahiahy (ary koa ny vulnerability vaovao). Noho izany, azonao takarina hoe iza, aiza ary inona marina no nezahin'izy ireo hadika. Eo ambanin'ny fanapahana dia misy famaritana ny saha sasany amin'ny hetsika vaovao sy tranga fampiasana roa.
Ny hetsika vaovao dia ahitana ireto saha manaraka ireto:
Image: ny dingana izay nanoratana ny angona ho amin'ny solaitrabe.
Session: ny fivoriana izay nanoratana ny solaitrabe. Mety ho rafitra (0)
rehefa miasa an-tserasera na lavitra, sns.
ClientInfo: misy ny anaran'ny session ary, raha misy fivoriana lavitra, ny anaran'ny mpampiantrano sy ny adiresy IP, raha misy.
Hashes: mamaritra ny anaran'ny rakitra nitehirizana ny lahatsoratra nadika (mitovy amin'ny fiasana amin'ny hetsika amin'ny karazana FileDelete).
Voatahiry: status, raha voatahiry ao amin'ny lahatahiry arisiva Sysmon ny lahatsoratra avy amin'ny solaitrabe.
Mampiahiahy ireo saha roa farany. Ny zava-misy dia hatramin'ny dikan-teny 11 Sysmon dia afaka (miaraka amin'ny filaharana mety) mamonjy angon-drakitra isan-karazany ao amin'ny lahatahiry arsiva. Ohatra, ny Event ID 23 dia mirakitra hetsika famafana rakitra ary afaka mitahiry azy rehetra ao amin'ny lahatahiry arisiva iray ihany. Ny tenifototra CLIP dia ampiana amin'ny anaran'ny rakitra noforonina vokatry ny fiaraha-miasa amin'ny takelaka. Ny rakitra mihitsy no mirakitra ny angona marina izay nadika tamin'ny takelaka.
Toy izao ny endriky ny rakitra voatahiry
Ny fitehirizana amin'ny rakitra iray dia alefa mandritra ny fametrahana. Azonao atao ny mametraka lisitra fotsy amin'ireo dingana izay tsy hotehirizina ny lahatsoratra.
Toy izao ny fisehon'ny fametrahana Sysmon miaraka amin'ny firafitry ny lahatahiry arsiva mety:
Eto, heveriko fa mendrika ny mitadidy ireo mpitantana ny tenimiafina izay mampiasa ny takelaka ihany koa. Ny fananana Sysmon amin'ny rafitra misy mpitantana tenimiafina dia ahafahanao (na mpanafika) haka ireo tenimiafina ireo. Raha heverinao fa fantatrao hoe iza amin'ireo dingana no manolotra ny lahatsoratra nadika (ary tsy izany foana no fomba fiasan'ny mpitantana ny tenimiafina, fa angamba ny svchost sasany), ity tranga ity dia azo ampiana amin'ny lisitra fotsy fa tsy voavonjy.
Mety tsy fantatrao, fa ny lahatsoratra avy amin'ny clipboard dia nalain'ny mpizara lavitra rehefa mifindra amin'ny RDP session mode ianao. Raha manana zavatra eo amin'ny solaitrao ianao ary mifamadika eo anelanelan'ny fotoam-pivoriana RDP, dia hiaraka aminao izany fampahalalana izany.
Andao hamintina ny fahaizan'i Sysmon amin'ny fiasana amin'ny takelaka.
raikitra:
- Dika mitovy amin'ny lahatsoratra apetaka amin'ny alΓ lan'ny RDP sy eo an-toerana;
- Alao ny angona avy amin'ny takelaka amin'ny alΓ lan'ny fitaovana/fikarakarana isan-karazany;
- Adikao/apetaho ny lahatsoratra avy amin'ny/amin'ny milina virtoaly eo an-toerana, na dia mbola tsy voapetaka aza ity lahatsoratra ity.
Tsy voarakitra:
- Mandika / mametaka rakitra avy amin'ny / mankany amin'ny milina virtoaly eo an-toerana;
- Mandika / mametaka rakitra amin'ny alΓ lan'ny RDP
- Ny malware izay mandroba ny takelakao dia manoratra ao amin'ny solaitrabe ihany.
Na dia eo aza ny manjavozavo, ity karazana hetsika ity dia ahafahanao mamerina ny algorithm amin'ny hetsika ataon'ny mpanafika ary manampy amin'ny famantarana ny angona tsy azo idirana teo aloha ho an'ny fananganana post-mortem taorian'ny fanafihana. Raha mbola azo atao ny fanoratana votoaty amin'ny solaitrabe, dia zava-dehibe ny firaketana ny fidirana rehetra amin'ny lahatahiry arisiva ary hamantatra ireo mety hampidi-doza (tsy natomboky ny sysmon.exe).
Mba handrakitra, hamakafaka ary haneho hevitra amin'ireo hetsika voatanisa etsy ambony dia azonao atao ny mampiasa ilay fitaovana
Raha te hianatra bebe kokoa momba ny InTrust, vakio ny lahatsoratra teo aloha na
Source: www.habr.com