Stesen kerja pengguna ialah titik infrastruktur yang paling terdedah dari segi keselamatan maklumat. Pengguna mungkin menerima surat kepada e-mel kerja mereka yang nampaknya daripada sumber yang selamat, tetapi dengan pautan ke tapak yang dijangkiti. Mungkin seseorang akan memuat turun utiliti yang berguna untuk kerja dari lokasi yang tidak diketahui. Ya, anda boleh mengemukakan berpuluh-puluh kes tentang bagaimana perisian hasad boleh menyusup sumber korporat dalaman melalui pengguna. Oleh itu, stesen kerja memerlukan perhatian yang lebih tinggi, dan dalam artikel ini kami akan memberitahu anda di mana dan acara apa yang perlu diambil untuk memantau serangan.
Untuk mengesan serangan pada peringkat seawal mungkin, WIndows mempunyai tiga sumber acara yang berguna: Log Peristiwa Keselamatan, Log Pemantauan Sistem dan Log Power Shell.
Log Acara Keselamatan
Ini adalah lokasi storan utama untuk log keselamatan sistem. Ini termasuk peristiwa log masuk/log keluar pengguna, akses kepada objek, perubahan dasar dan aktiviti berkaitan keselamatan lain. Sudah tentu, jika dasar yang sesuai dikonfigurasikan.
Penghitungan pengguna dan kumpulan (acara 4798 dan 4799). Pada permulaan serangan, perisian hasad sering mencari melalui akaun pengguna tempatan dan kumpulan tempatan di stesen kerja untuk mencari bukti kelayakan untuk urusannya yang teduh. Peristiwa ini akan membantu mengesan kod hasad sebelum ia diteruskan dan, menggunakan data yang dikumpul, merebak ke sistem lain.
Penciptaan akaun setempat dan perubahan dalam kumpulan tempatan (acara 4720, 4722β4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 dan 5377). Serangan juga boleh bermula, sebagai contoh, dengan menambahkan pengguna baharu pada kumpulan pentadbir tempatan.
Percubaan log masuk dengan akaun setempat (acara 4624). Pengguna yang dihormati log masuk dengan akaun domain, dan mengenal pasti log masuk di bawah akaun tempatan boleh bermakna permulaan serangan. Acara 4624 juga termasuk log masuk di bawah akaun domain, jadi semasa memproses acara, anda perlu menapis acara yang domainnya berbeza daripada nama stesen kerja.
Percubaan untuk log masuk dengan akaun yang ditentukan (acara 4648). Ini berlaku apabila proses berjalan dalam mod "jalankan sebagai". Ini tidak sepatutnya berlaku semasa operasi normal sistem, jadi peristiwa sedemikian mesti dikawal.
Mengunci/membuka kunci stesen kerja (acara 4800-4803). Kategori peristiwa yang mencurigakan termasuk sebarang tindakan yang berlaku pada stesen kerja berkunci.
Perubahan konfigurasi tembok api (acara 4944-4958). Jelas sekali, apabila memasang perisian baharu, tetapan konfigurasi tembok api mungkin berubah, yang akan menyebabkan positif palsu. Dalam kebanyakan kes, tidak ada keperluan untuk mengawal perubahan tersebut, tetapi pastinya tidak rugi untuk mengetahui tentangnya.
Menyambung peranti Plug'n'play (acara 6416 dan hanya untuk WIndows 10). Adalah penting untuk memerhatikan perkara ini jika pengguna biasanya tidak menyambungkan peranti baharu ke stesen kerja, tetapi tiba-tiba mereka melakukannya.
Windows termasuk 9 kategori audit dan 50 subkategori untuk penalaan halus. Set minimum subkategori yang harus didayakan dalam tetapan:
Logon / Logoff
- Log masuk;
- Logoff;
- Kunci Akaun;
- Acara Log Masuk/Log Keluar Lain.
Pengurusan Akaun
- Pengurusan Akaun Pengguna;
- Pengurusan Kumpulan Keselamatan.
Perubahan Dasar
- Perubahan Dasar Audit;
- Perubahan Dasar Pengesahan;
- Perubahan Dasar Kebenaran.
Monitor Sistem (Sysmon)
Sysmon ialah utiliti terbina dalam Windows yang boleh merekodkan peristiwa dalam log sistem. Biasanya anda perlu memasangnya secara berasingan.
Peristiwa yang sama ini, pada dasarnya, boleh ditemui dalam log keselamatan (dengan mendayakan dasar audit yang diingini), tetapi Sysmon menyediakan lebih terperinci. Apakah peristiwa yang boleh diambil daripada Sysmon?
Proses penciptaan (ID acara 1). Log peristiwa keselamatan sistem juga boleh memberitahu anda apabila *.exe bermula dan juga menunjukkan namanya dan laluan pelancarannya. Tetapi tidak seperti Sysmon, ia tidak akan dapat menunjukkan cincang aplikasi. Perisian berniat jahat juga boleh dipanggil notepad.exe tidak berbahaya, tetapi cincangan yang akan mendedahkannya.
Sambungan Rangkaian (ID Acara 3). Jelas sekali, terdapat banyak sambungan rangkaian, dan mustahil untuk menjejaki mereka semua. Tetapi adalah penting untuk mempertimbangkan bahawa Sysmon, tidak seperti Log Keselamatan, boleh mengikat sambungan rangkaian ke medan ProcessID dan ProcessGUID, dan menunjukkan port dan alamat IP sumber dan destinasi.
Perubahan dalam pendaftaran sistem (ID acara 12-14). Cara paling mudah untuk menambah diri anda ke autorun adalah dengan mendaftar dalam pendaftaran. Log Keselamatan boleh melakukan ini, tetapi Sysmon menunjukkan siapa yang membuat perubahan, bila, dari mana, proses ID dan nilai kunci sebelumnya.
Penciptaan fail (ID acara 11). Sysmon, tidak seperti Log Keselamatan, akan menunjukkan bukan sahaja lokasi fail, tetapi juga namanya. Sudah jelas bahawa anda tidak boleh menjejaki segala-galanya, tetapi anda boleh mengaudit direktori tertentu.
Dan sekarang apa yang tidak ada dalam dasar Log Keselamatan, tetapi ada dalam Sysmon:
Perubahan masa penciptaan fail (ID Acara 2). Sesetengah perisian hasad boleh memalsukan tarikh penciptaan fail untuk menyembunyikannya daripada laporan fail yang dibuat baru-baru ini.
Memuatkan pemacu dan perpustakaan dinamik (ID acara 6-7). Memantau pemuatan DLL dan pemacu peranti ke dalam memori, menyemak tandatangan digital dan kesahihannya.
Buat urutan dalam proses yang sedang berjalan (ID acara 8). Satu jenis serangan yang juga perlu dipantau.
Acara RawAccessRead (ID Acara 9). Operasi membaca cakera menggunakan ".". Dalam kebanyakan kes, aktiviti sedemikian harus dianggap tidak normal.
Buat strim fail bernama (ID acara 15). Peristiwa dilog apabila strim fail bernama dicipta yang mengeluarkan peristiwa dengan cincang kandungan fail.
Mencipta paip dan sambungan bernama (ID peristiwa 17-18). Menjejaki kod hasad yang berkomunikasi dengan komponen lain melalui paip yang dinamakan.
Aktiviti WMI (ID acara 19). Pendaftaran peristiwa yang dijana semasa mengakses sistem melalui protokol WMI.
Untuk melindungi Sysmon sendiri, anda perlu memantau acara dengan ID 4 (Sysmon berhenti dan mula) dan ID 16 (perubahan konfigurasi Sysmon).
Log Cangkang Kuasa
Power Shell ialah alat yang berkuasa untuk mengurus infrastruktur Windows, jadi kemungkinan besar penyerang akan memilihnya. Terdapat dua sumber yang boleh anda gunakan untuk mendapatkan data acara Power Shell: Log Windows PowerShell dan log Microsoft-WindowsPowerShell/Operasi.
Log Windows PowerShell
Pembekal data dimuatkan (ID acara 600). Pembekal PowerShell ialah program yang menyediakan sumber data untuk dilihat dan diurus oleh PowerShell. Sebagai contoh, pembekal terbina dalam boleh menjadi pembolehubah persekitaran Windows atau pendaftaran sistem. Kemunculan pembekal baharu mesti dipantau untuk mengesan aktiviti berniat jahat dalam masa. Sebagai contoh, jika anda melihat WSman muncul di kalangan pembekal, maka sesi PowerShell jauh telah dimulakan.
Microsoft-WindowsPowerShell / Log Operasi (atau MicrosoftWindows-PowerShellCore / Operasi dalam PowerShell 6)
Pengelogan modul (ID acara 4103). Peristiwa menyimpan maklumat tentang setiap perintah yang dilaksanakan dan parameter yang dipanggil.
Pengelogan menyekat skrip (ID acara 4104). Pengelogan penyekatan skrip menunjukkan setiap blok kod PowerShell yang dilaksanakan. Walaupun penyerang cuba menyembunyikan arahan, jenis acara ini akan menunjukkan perintah PowerShell yang sebenarnya telah dilaksanakan. Jenis acara ini juga boleh log beberapa panggilan API peringkat rendah sedang dibuat, peristiwa ini biasanya direkodkan sebagai Verbose, tetapi jika perintah atau skrip yang mencurigakan digunakan dalam blok kod, ia akan dilog sebagai keterukan Amaran.
Sila ambil perhatian bahawa setelah alat dikonfigurasikan untuk mengumpul dan menganalisis peristiwa ini, masa penyahpepijatan tambahan akan diperlukan untuk mengurangkan bilangan positif palsu.
Beritahu kami dalam ulasan log yang anda kumpulkan untuk audit keselamatan maklumat dan alat yang anda gunakan untuk ini. Salah satu bidang tumpuan kami ialah penyelesaian untuk mengaudit acara keselamatan maklumat. Untuk menyelesaikan masalah mengumpul dan menganalisis log, kami boleh mencadangkan untuk melihat lebih dekat , yang boleh memampatkan data yang disimpan dengan nisbah 20:1, dan satu contoh yang dipasang mampu memproses sehingga 60000 peristiwa sesaat daripada 10000 sumber.
Sumber: www.habr.com