L-istazzjon tax-xogħol tal-utent huwa l-aktar punt vulnerabbli tal-infrastruttura f'termini ta 'sigurtà tal-informazzjoni. L-utenti jistgħu jirċievu ittra lill-email tax-xogħol tagħhom li tidher li hija minn sors sigur, iżda b'link għal sit infettat. Forsi xi ħadd se tniżżel utilità utli għax-xogħol minn post mhux magħruf. Iva, tista' toħroġ b'għexieren ta' każijiet ta' kif il-malware jista' jinfiltra r-riżorsi korporattivi interni permezz tal-utenti. Għalhekk, il-postijiet tax-xogħol jeħtieġu attenzjoni akbar, u f'dan l-artikolu aħna ngħidulek fejn u liema avvenimenti għandek tieħu biex tissorvelja l-attakki.
Biex tiskopri attakk fl-aktar stadju bikri possibbli, WIndows għandu tliet sorsi ta 'avvenimenti utli: il-Log tal-Avvenimenti tas-Sigurtà, il-Log tal-Monitoraġġ tas-Sistema, u l-Logs tal-Power Shell.
Log Avveniment tas-Sigurtà
Dan huwa l-post ewlieni tal-ħażna għar-reġistri tas-sigurtà tas-sistema. Dan jinkludi avvenimenti ta' login/logout tal-utent, aċċess għal oġġetti, bidliet fil-politika, u attivitajiet oħra relatati mas-sigurtà. Naturalment, jekk il-politika xierqa hija kkonfigurata.
Enumerazzjoni ta' utenti u gruppi (avvenimenti 4798 u 4799). Fil-bidu nett ta’ attakk, il-malware spiss ifittex permezz ta’ kontijiet ta’ utenti lokali u gruppi lokali fuq stazzjon tax-xogħol biex isib kredenzjali għat-trattamenti dellija tiegħu. Dawn l-avvenimenti se jgħinu biex jiskopru kodiċi malizzjuż qabel ma jkompli u, bl-użu tad-dejta miġbura, jinfirex għal sistemi oħra.
Ħolqien ta’ kont lokali u bidliet fil-gruppi lokali (avvenimenti 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 u 5377). L-attakk jista 'jibda wkoll, pereżempju, billi żżid utent ġdid mal-grupp ta' amministraturi lokali.
Tentattivi ta' login b'kont lokali (avveniment 4624). Utenti rispettabbli jidħlu b'kont ta' dominju, u l-identifikazzjoni ta' login taħt kont lokali tista' tfisser il-bidu ta' attakk. L-avveniment 4624 jinkludi wkoll logins taħt kont ta 'dominju, għalhekk meta tipproċessa l-avvenimenti, għandek bżonn tiffiltra l-avvenimenti fejn id-dominju huwa differenti mill-isem tal-istazzjon tax-xogħol.
Tentattiv biex tidħol mal-kont speċifikat (avveniment 4648). Dan jiġri meta l-proċess ikun qed jaħdem fil-modalità "run as". Dan m'għandux jiġri waqt it-tħaddim normali tas-sistemi, għalhekk avvenimenti bħal dawn għandhom jiġu kkontrollati.
Qfil/ftuħ tal-istazzjon tax-xogħol (avvenimenti 4800-4803). Il-kategorija ta' avvenimenti suspettużi tinkludi kwalunkwe azzjoni li seħħet fuq workstation msakkra.
Tibdil fil-konfigurazzjoni tal-firewall (avvenimenti 4944-4958). Ovvjament, meta tinstalla softwer ġdid, is-settings tal-konfigurazzjoni tal-firewall jistgħu jinbidlu, li jikkawżaw pożittivi foloz. Fil-biċċa l-kbira tal-każijiet, m'hemmx bżonn li tikkontrolla dawn il-bidliet, iżda żgur li mhux se tweġġa' li tkun taf dwarhom.
Konnessjoni ta' tagħmir Plug'n'play (avveniment 6416 u għal WIndows 10 biss). Huwa importanti li żżomm għajnejk fuq dan jekk l-utenti normalment ma jgħaqqdux apparat ġdid mal-istazzjon tax-xogħol, iżda mbagħad f'daqqa waħda jagħmlu.
Windows jinkludi 9 kategoriji ta 'awditjar u 50 sottokategorija għall-irfinar. Is-sett minimu ta' sottokategoriji li għandhom ikunu attivati fis-settings:
Login / Logoff
- Logon;
- Itfi;
- Lockout tal-Kont;
- Avvenimenti oħra ta' Logon/Logoff.
Kont Amministrattiv
- Ġestjoni tal-Kont tal-Utent;
- Ġestjoni tal-Grupp tas-Sigurtà.
Bidla fil-Politika
- Bidla fil-Politika tal-Verifika;
- Bidla fil-Politika tal-Awtentikazzjoni;
- Bidla fil-Politika ta' Awtorizzazzjoni.
Monitor tas-Sistema (Sysmon)
Sysmon hija utilità mibnija fil-Windows li tista 'tirreġistra avvenimenti fil-log tas-sistema. Normalment għandek bżonn tinstallah separatament.
Dawn l-istess avvenimenti jistgħu, fil-prinċipju, jinstabu fir-reġistru tas-sigurtà (billi tiġi attivata l-politika tal-awditjar mixtieqa), iżda Sysmon jipprovdi aktar dettall. Liema avvenimenti jistgħu jittieħdu minn Sysmon?
Ħolqien tal-proċess (ID tal-avveniment 1). Ir-reġistru tal-avvenimenti tas-sigurtà tas-sistema jista 'jgħidlek ukoll meta *.exe beda u saħansitra juri isimha u t-triq tat-tnedija. Iżda b'differenza Sysmon, mhux se jkun kapaċi juri l-hash tal-applikazzjoni. Softwer malizzjuż jista 'saħansitra jissejjaħ notepad.exe li ma jagħmilx ħsara, iżda huwa l-hash li jġibha għad-dawl.
Konnessjonijiet tan-Netwerk (ID tal-Avveniment 3). Ovvjament, hemm ħafna konnessjonijiet tan-netwerk, u huwa impossibbli li żżomm kont tagħhom kollha. Iżda huwa importanti li tikkunsidra li Sysmon, b'differenza Log tas-Sigurtà, jista 'jorbot konnessjoni tan-netwerk mal-oqsma ProcessID u ProcessGUID, u juri l-port u l-indirizzi IP tas-sors u d-destinazzjoni.
Bidliet fir-reġistru tas-sistema (ID tal-avveniment 12-14). L-eħfef mod biex iżżid lilek innifsek mal-autorun huwa li tirreġistra fir-reġistru. Security Log jista 'jagħmel dan, iżda Sysmon juri min għamel il-bidliet, meta, minn fejn, jipproċessa l-ID u l-valur ewlieni preċedenti.
Ħolqien tal-fajl (ID tal-avveniment 11). Sysmon, b'differenza Log tas-Sigurtà, se juri mhux biss il-post tal-fajl, iżda wkoll ismu. Huwa ċar li ma tistax iżżomm kont ta 'kollox, iżda tista' tivverifika ċerti direttorji.
U issa dak li mhux fil-politiki tal-Logg tas-Sigurtà, iżda huwa f'Sysmon:
Bidla fil-ħin tal-ħolqien tal-fajl (ID tal-Avveniment 2). Xi malware jista 'jiffofa d-data tal-ħolqien ta' fajl biex jaħbiha minn rapporti ta 'fajls maħluqa reċentement.
Tagħbija tas-sewwieqa u libreriji dinamiċi (IDs tal-avvenimenti 6-7). Tissorvelja t-tagħbija tad-DLLs u d-drivers tal-apparat fil-memorja, tiċċekkja l-firma diġitali u l-validità tagħha.
Oħloq ħajta fi proċess għaddej (avveniment ID 8). Tip wieħed ta 'attakk li jeħtieġ ukoll li jiġi mmonitorjat.
Avvenimenti RawAccessRead (ID tal-Avveniment 9). Operazzjonijiet ta' qari tad-disk bl-użu ta' “.”. Fil-maġġoranza l-kbira tal-każijiet, tali attività għandha titqies bħala anormali.
Oħloq fluss ta' fajls bl-isem (ID tal-avveniment 15). Avveniment jiġi illoggjat meta tinħoloq fluss ta' fajls msemmi li jarmi avvenimenti b'hash tal-kontenut tal-fajl.
Il-ħolqien ta' pajp u konnessjoni msemmi (avveniment ID 17-18). Traċċar ta 'kodiċi malizzjuż li jikkomunika ma' komponenti oħra permezz tal-pajp imsemmi.
Attività WMI (avveniment ID 19). Reġistrazzjoni ta' avvenimenti li jiġu ġġenerati meta jaċċessaw is-sistema permezz tal-protokoll WMI.
Biex tipproteġi Sysmon innifsu, għandek bżonn tissorvelja l-avvenimenti b'ID 4 (Sysmon jieqaf u jibda) u ID 16 (bidliet fil-konfigurazzjoni ta' Sysmon).
Żkuk tal-Qoxra tal-Enerġija
Power Shell hija għodda qawwija għall-ġestjoni tal-infrastruttura tal-Windows, għalhekk hemm ċans kbir li attakkant jagħżelha. Hemm żewġ sorsi li tista' tuża biex tikseb dejta dwar l-avvenimenti tal-Power Shell: log Windows PowerShell u log Microsoft-WindowsPowerShell/Operational.
Log Windows PowerShell
Fornitur tad-dejta mgħobbi (ID tal-avveniment 600). Il-fornituri ta’ PowerShell huma programmi li jipprovdu sors ta’ dejta għal PowerShell biex tara u timmaniġġja. Pereżempju, il-fornituri integrati jistgħu jkunu varjabbli ambjentali tal-Windows jew ir-reġistru tas-sistema. L-emerġenza ta' fornituri ġodda għandha tiġi mmonitorjata sabiex tinstab attività malizzjuża fil-ħin. Pereżempju, jekk tara WSMan jidher fost il-fornituri, allura nbdiet sessjoni PowerShell remota.
Microsoft-WindowsPowerShell / Log operattiv (jew MicrosoftWindows-PowerShellCore / Operazzjonali f'PowerShell 6)
Logging tal-modulu (ID tal-avveniment 4103). L-avvenimenti jaħżnu informazzjoni dwar kull kmand esegwit u l-parametri li bihom ġie msejjaħ.
Logging tal-imblukkar tal-iskript (ID tal-avveniment 4104). Il-logging tal-imblukkar tal-iskript juri kull blokka tal-kodiċi PowerShell esegwita. Anke jekk attakkant jipprova jaħbi l-kmand, dan it-tip ta 'avveniment se juri l-kmand PowerShell li kien attwalment eżegwit. Dan it-tip ta 'avveniment jista' wkoll jirreġistra xi sejħiet API ta 'livell baxx li qed isiru, dawn l-avvenimenti huma ġeneralment irreġistrati bħala Verbose, iżda jekk jintuża kmand jew skript suspettuż fi blokk ta' kodiċi, ikun illoggjat bħala severità ta 'Twissija.
Jekk jogħġbok innota li ladarba l-għodda tkun ikkonfigurata biex tiġbor u tanalizza dawn l-avvenimenti, se jkun meħtieġ ħin addizzjonali ta 'debugging biex jitnaqqas in-numru ta' pożittivi foloz.
Għidilna fil-kummenti liema zkuk tiġbor għall-verifiki tas-sigurtà tal-informazzjoni u liema għodod tuża għal dan. Wieħed mill-oqsma ta' fokus tagħna huwa s-soluzzjonijiet għall-awditjar ta' avvenimenti tas-sigurtà tal-informazzjoni. Biex issolvi l-problema tal-ġbir u l-analiżi taz-zkuk, nistgħu nissuġġerixxu li nagħtu ħarsa aktar mill-qrib lejn , li tista 'tikkompressa data maħżuna bi proporzjon ta' 20:1, u istanza installata waħda minnha hija kapaċi tipproċessa sa 60000 avveniment kull sekonda minn 10000 sors.
Sors: www.habr.com