Хэрэглэгчийн ажлын станц нь мэдээллийн аюулгүй байдлын хувьд дэд бүтцийн хамгийн эмзэг цэг юм. Хэрэглэгчид ажлын цахим шуудан руугаа аюулгүй эх сурвалжаас ирсэн боловч халдвар авсан сайтын холбоос бүхий захидал хүлээн авч болно. Магадгүй хэн нэгэн нь үл мэдэгдэх газраас ажилд хэрэгтэй хэрэгслийг татаж авах болно. Тийм ээ, та хортой программ хангамж хэрэглэгчид дамжуулан корпорацийн дотоод нөөц рүү хэрхэн нэвтэрч болох олон арван тохиолдлыг гаргаж ирж болно. Тиймээс ажлын станцууд илүү их анхаарал шаарддаг бөгөөд энэ нийтлэлд бид халдлагыг хянахын тулд хаана, ямар арга хэмжээ авахыг танд хэлэх болно.
Халдлагыг аль болох эрт илрүүлэхийн тулд WIndows нь аюулгүй байдлын үйл явдлын бүртгэл, системийн хяналтын бүртгэл, цахилгаан бүрхүүлийн бүртгэл гэсэн гурван ашигтай үйл явдлын эх сурвалжтай.
Аюулгүй байдлын үйл явдлын бүртгэл
Энэ нь системийн аюулгүй байдлын бүртгэлийг хадгалах гол газар юм. Үүнд хэрэглэгчийн нэвтрэлт/гаралтын үйл явдлууд, объектод хандах хандалт, бодлогын өөрчлөлт, аюулгүй байдалтай холбоотой бусад үйл ажиллагаа орно. Мэдээжийн хэрэг, хэрэв зохих бодлогыг тохируулсан бол.
Хэрэглэгчид болон бүлгүүдийн тоолол (үйл явдал 4798 ба 4799). Халдлагын эхэн үед хортой программ хангамж нь ихэвчлэн ажлын станц дээрх орон нутгийн хэрэглэгчийн бүртгэл болон орон нутгийн бүлгүүдээр дамжуулан өөрийн нууцлаг үйлдлүүдийнхээ итгэмжлэлүүдийг хайж олдог. Эдгээр үйл явдлууд нь хортой кодыг шилжихээс өмнө илрүүлж, цуглуулсан өгөгдлийг ашиглан бусад системд тархах болно.
Орон нутгийн данс үүсгэх, орон нутгийн бүлгүүдэд өөрчлөлт оруулах (үйл явдал 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 ба 5377). Жишээлбэл, локал администраторын бүлэгт шинэ хэрэглэгч нэмэх замаар халдлага эхэлж болно.
Орон нутгийн бүртгэлээр нэвтрэх оролдлого (үйл явдал 4624). Эрхэм хүндэт хэрэглэгчид домэйн акаунтаар нэвтэрдэг бөгөөд локал акаунтаар нэвтрэхийг тодорхойлох нь халдлагын эхлэлийг илтгэнэ. Үйл явдал 4624 нь домэйн акаунтын дор нэвтрэх эрхийг агуулдаг тул үйл явдлуудыг боловсруулахдаа домэйн нь ажлын станцын нэрээс өөр үйл явдлуудыг шүүх хэрэгтэй.
Заасан бүртгэлээр нэвтрэх оролдлого (үйл явдал 4648). Энэ нь процесс "ашиглах" горимд ажиллаж байх үед тохиолддог. Системийн хэвийн үйл ажиллагааны явцад ийм зүйл тохиолдох ёсгүй тул ийм үйл явдлыг хянах шаардлагатай.
Ажлын станцыг түгжих/түгжээг тайлах (4800-4803 үйл явдал). Сэжигтэй үйл явдлын ангилалд түгжигдсэн ажлын станц дээр гарсан аливаа үйлдлийг багтаана.
Галт ханын тохиргооны өөрчлөлт (үйл явдал 4944-4958). Мэдээжийн хэрэг, шинэ програм хангамж суулгах үед галт ханын тохиргооны тохиргоо өөрчлөгдөж магадгүй бөгөөд энэ нь хуурамч эерэг үр дүнд хүргэх болно. Ихэнх тохиолдолд ийм өөрчлөлтийг хянах шаардлагагүй, гэхдээ тэдний талаар мэдэх нь мэдээж гэмтээхгүй.
Plug'n'play төхөөрөмжүүдийг холбох (6416 үйл явдал ба зөвхөн WIndows 10-д зориулагдсан). Хэрэглэгчид ихэвчлэн ажлын станцад шинэ төхөөрөмж холбодоггүй ч гэнэт холбогддог бол үүнийг анхаарч үзэх нь чухал юм.
Windows нь аудитын 9 ангилал, нарийн тохируулга хийх 50 дэд ангиллыг агуулдаг. Тохиргоонд идэвхжүүлэх ёстой дэд категоруудын хамгийн бага багц:
Logon / Logoff
- Нэвтрэх;
- Гарах;
- Дансны түгжээ;
- Нэвтрэх/гарах бусад үйл явдлууд.
бүртгэл зохицуулалт
- Хэрэглэгчийн дансны менежмент;
- Аюулгүй байдлын бүлгийн удирдлага.
Бодлогын өөрчлөлт
- Аудитын бодлогын өөрчлөлт;
- Баталгаажуулах бодлогын өөрчлөлт;
- Зөвшөөрлийн бодлогын өөрчлөлт.
Системийн хяналт (Sysmon)
Sysmon нь Windows-д суурилагдсан хэрэгсэл бөгөөд системийн бүртгэлд үйл явдлыг бүртгэх боломжтой. Ихэвчлэн та үүнийг тусад нь суулгах хэрэгтэй.
Эдгээр ижил үйл явдлуудыг зарчмын хувьд аюулгүй байдлын бүртгэлээс олж болно (хүссэн аудитын бодлогыг идэвхжүүлснээр), гэхдээ Sysmon илүү дэлгэрэнгүй мэдээллийг өгдөг. Sysmon-ээс ямар үйл явдлуудыг авч болох вэ?
Процесс үүсгэх (үйл явдлын ID 1). Системийн аюулгүй байдлын үйл явдлын бүртгэл нь *.exe-г хэзээ эхлүүлж, түүний нэр болон эхлүүлэх замыг харуулах боломжтой. Гэхдээ Sysmon-ээс ялгаатай нь энэ нь програмын хэшийг харуулах боломжгүй болно. Хортой программыг хор хөнөөлгүй notepad.exe гэж нэрлэж болох ч энэ нь хэш нь үүнийг ил гаргах болно.
Сүлжээний холболтууд (Үйл явдлын ID 3). Мэдээжийн хэрэг, маш олон сүлжээний холболтууд байдаг бөгөөд тэдгээрийг бүгдийг нь хянах боломжгүй юм. Гэхдээ Sysmon нь Security Log-ээс ялгаатай нь ProcessID болон ProcessGUID талбарт сүлжээний холболтыг холбож, эх сурвалж болон очих газрын порт, IP хаягийг харуулдаг гэдгийг анхаарах нь чухал юм.
Системийн бүртгэлд гарсан өөрчлөлтүүд (үйл явдлын ID 12-14). Өөрийгөө автоматаар ажиллуулах хамгийн хялбар арга бол бүртгэлд бүртгүүлэх явдал юм. Аюулгүй байдлын бүртгэл үүнийг хийх боломжтой боловч Sysmon нь хэн өөрчлөлт хийсэн, хэзээ, хаанаас, процессын ID болон өмнөх түлхүүр утгыг харуулдаг.
Файл үүсгэх (үйл явдлын ID 11). Sysmon нь Security Log-ээс ялгаатай нь зөвхөн файлын байршлыг төдийгүй түүний нэрийг харуулах болно. Та бүх зүйлийг хянаж чадахгүй нь ойлгомжтой, гэхдээ та тодорхой лавлахуудыг шалгаж болно.
Одоо аюулгүй байдлын бүртгэлийн бодлогод байхгүй, харин Sysmon-д байгаа зүйл:
Файл үүсгэх хугацааг өөрчлөх (Үйл явдлын ID 2). Зарим хортой програм нь саяхан үүсгэсэн файлуудын тайлангаас нуухын тулд файлыг үүсгэсэн огноог хууран мэхлэх боломжтой.
Драйверууд болон динамик сангуудыг ачаалж байна (үйл явдлын ID 6-7). DLL болон төхөөрөмжийн драйверуудыг санах ойд ачаалах, тоон гарын үсэг, түүний хүчинтэй эсэхийг шалгах.
Ажиллаж байгаа процесст хэлхээ үүсгэх (үйл явдлын ID 8). Мөн хяналт тавих шаардлагатай нэг төрлийн халдлага.
RawAccessRead үйл явдлууд (Үйл явдлын ID 9). "." ашиглан диск унших үйлдлүүд. Ихэнх тохиолдолд ийм үйл ажиллагааг хэвийн бус гэж үзэх нь зүйтэй.
Нэрлэсэн файлын урсгал үүсгэх (үйл явдлын ID 15). Файлын агуулгын хэш бүхий үйл явдлуудыг ялгаруулдаг нэртэй файлын урсгал үүсгэх үед үйл явдлыг бүртгэдэг.
Нэрлэсэн хоолой ба холболт үүсгэх (үйл явдлын ID 17-18). Нэрлэсэн хоолойгоор дамжуулан бусад бүрэлдэхүүн хэсгүүдтэй харилцдаг хортой кодыг хянах.
WMI үйл ажиллагаа (үйл явдлын ID 19). WMI протоколоор системд нэвтрэх үед үүссэн үйл явдлын бүртгэл.
Sysmon-г өөрөө хамгаалахын тулд та ID 4 (Sysmon зогсох ба эхлүүлэх) болон ID 16 (Sysmon тохиргооны өөрчлөлт) бүхий үйл явдлуудыг хянах хэрэгтэй.
Power Shell Logs
Power Shell нь Windows-ийн дэд бүтцийг удирдах хүчирхэг хэрэгсэл тул халдагчид үүнийг сонгох магадлал өндөр байна. Power Shell үйл явдлын өгөгдлийг олж авахын тулд та ашиглаж болох хоёр эх сурвалж байдаг: Windows PowerShell бүртгэл болон Microsoft-WindowsPowerShell/Үйл ажиллагааны бүртгэл.
Windows PowerShell бүртгэл
Өгөгдөл нийлүүлэгч ачаалагдсан (үйл явдлын ID 600). PowerShell үйлчилгээ үзүүлэгчид нь PowerShell-д харах, удирдах боломжтой мэдээллийн эх үүсвэрээр хангадаг програмууд юм. Жишээлбэл, суурилуулсан үйлчилгээ үзүүлэгч нь Windows орчны хувьсагч эсвэл системийн бүртгэл байж болно. Хортой үйлдлийг цаг тухайд нь илрүүлэхийн тулд шинэ ханган нийлүүлэгчид гарч ирэхэд хяналт тавих ёстой. Жишээлбэл, хэрэв та үйлчилгээ үзүүлэгчдийн дунд WSMan гарч ирэхийг харвал алсын PowerShell сессийг эхлүүлсэн байна.
Microsoft-WindowsPowerShell / Үйлдлийн бүртгэл (эсвэл MicrosoftWindows-PowerShellCore / PowerShell 6 дахь үйлдлийн систем)
Модулийн бүртгэл (үйл явдлын ID 4103). Үйл явдал нь гүйцэтгэсэн тушаал тус бүрийн талаарх мэдээллийг болон түүнийг дуудсан параметрүүдийг хадгалдаг.
Скриптийг блоклох бүртгэл (үйл явдлын ID 4104). Скриптийг блоклох бүртгэл нь PowerShell кодын гүйцэтгэсэн блок бүрийг харуулдаг. Халдагчид тушаалыг нуухыг оролдсон ч энэ төрлийн үйл явдал нь бодитоор гүйцэтгэсэн PowerShell командыг харуулах болно. Энэ төрлийн үйл явдлын төрөл нь хийгдэж буй зарим доод түвшний API дуудлагуудыг бүртгэх боломжтой бөгөөд эдгээр үйл явдлуудыг ихэвчлэн дэлгэрэнгүй байдлаар бүртгэдэг боловч хэрэв кодын блокт сэжигтэй тушаал эсвэл скрипт ашигласан бол үүнийг анхааруулга гэж бүртгэнэ.
Хэрэгслийг эдгээр үйл явдлыг цуглуулж, дүн шинжилгээ хийхээр тохируулсны дараа худал эерэгүүдийн тоог багасгахын тулд нэмэлт дибаг хийх хугацаа шаардагдана гэдгийг анхаарна уу.
Мэдээллийн аюулгүй байдлын аудит хийхдээ ямар бүртгэл цуглуулдаг, үүнд ямар хэрэглүүр ашигладаг вэ гэдгээ бидэнд сэтгэгдэл дээр хэлээрэй. Бидний анхаарах чиглэлүүдийн нэг бол мэдээллийн аюулгүй байдлын үйл явдлуудад аудит хийх шийдэл юм. Лог цуглуулах, дүн шинжилгээ хийх асуудлыг шийдэхийн тулд бид илүү нарийвчлан авч үзэхийг санал болгож болно , энэ нь хадгалсан өгөгдлийг 20:1 харьцаатай шахаж чаддаг бөгөөд түүний суулгасан нэг хувилбар нь 60000 эх сурвалжаас секундэд 10000 хүртэлх үйл явдлыг боловсруулах чадвартай.
Эх сурвалж: www.habr.com