Windows-based workstation ၏မှတ်တမ်းများမှ မည်သည့်အသုံးဝင်သောအရာများကို ထုတ်ယူနိုင်သနည်း။

အသုံးပြုသူ workstation သည် အချက်အလက်လုံခြုံရေးအရ အခြေခံအဆောက်အအုံ၏ အားနည်းချက်အရှိဆုံးအချက်ဖြစ်သည်။ အသုံးပြုသူများသည် ဘေးကင်းသောအရင်းအမြစ်မှပုံပေါက်သည့် ၎င်းတို့၏အလုပ်အီးမေးလ်သို့ စာတစ်စောင်လက်ခံရရှိသော်လည်း ကူးစက်ခံရသည့်ဆိုက်သို့ လင့်ခ်တစ်ခုဖြင့် လက်ခံရရှိနိုင်ပါသည်။ တစ်စုံတစ်ယောက်သည် အမည်မသိတည်နေရာမှ အလုပ်အတွက်အသုံးဝင်သော utility တစ်ခုကို ဒေါင်းလုဒ်လုပ်လိမ့်မည်ဖြစ်နိုင်သည်။ ဟုတ်ပါသည်၊ အသုံးပြုသူများမှတဆင့် အတွင်းပိုင်းကော်ပိုရိတ်ရင်းမြစ်များ အတွင်းသို့ Malware စိမ့်ဝင်နိုင်ပုံ အများအပြားကို သင်တွေ့နိုင်ပါသည်။ ထို့ကြောင့်၊ အလုပ်ရုံများသည် အာရုံစူးစိုက်မှု တိုးမြင့်ရန် လိုအပ်ပြီး တိုက်ခိုက်မှုများကို စောင့်ကြည့်ရန် မည်သည့်နေရာနှင့် မည်သည့်ဖြစ်ရပ်များကို လုပ်ဆောင်ရမည်ကို ဤဆောင်းပါးတွင် ကျွန်ုပ်တို့ ပြောပြပါမည်။

ဖြစ်နိုင်ခြေအစောဆုံးအဆင့်တွင် တိုက်ခိုက်မှုတစ်ခုအား ရှာဖွေတွေ့ရှိရန်၊ WIndows တွင် အသုံးဝင်သောဖြစ်ရပ်အရင်းအမြစ် သုံးခုရှိသည်- လုံခြုံရေးဖြစ်ရပ်မှတ်တမ်း၊ စနစ်စောင့်ကြည့်လေ့လာရေးမှတ်တမ်းနှင့် Power Shell မှတ်တမ်းများရှိသည်။

လုံခြုံရေးဖြစ်ရပ်မှတ်တမ်း

ဤသည်မှာ စနစ်လုံခြုံရေးမှတ်တမ်းများအတွက် အဓိကသိုလှောင်ရာနေရာဖြစ်သည်။ ၎င်းတွင် အသုံးပြုသူ အကောင့်ဝင်/ထွက်ခြင်း၊ အရာဝတ္တုများသို့ ဝင်ရောက်ခြင်း၊ မူဝါဒပြောင်းလဲမှုများနှင့် အခြားသော လုံခြုံရေးဆိုင်ရာ လုပ်ဆောင်ချက်များ ပါဝင်ပါသည်။ ဟုတ်ပါတယ်၊ သင့်လျော်သောမူဝါဒကိုပြင်ဆင်ပြီးပါက။

အသုံးပြုသူများနှင့် အုပ်စုများ စာရင်းကောက်ခြင်း (ဖြစ်ရပ်များ 4798 နှင့် 4799)။ တိုက်ခိုက်မှုတစ်ခု၏အစတွင်၊ malware သည် ၎င်း၏အရိပ်အာဝါသအပေးအယူများအတွက် အထောက်အထားများကို ရှာဖွေရန်အတွက် အလုပ်ရုံတစ်ခုရှိ ဒေသခံအသုံးပြုသူအကောင့်များနှင့် ဒေသတွင်းအဖွဲ့များမှတစ်ဆင့် ရှာဖွေလေ့ရှိသည်။ ဤဖြစ်ရပ်များသည် ၎င်းကိုမရွေ့မီ အန္တရာယ်ရှိသောကုဒ်ကို ရှာဖွေတွေ့ရှိနိုင်ပြီး စုဆောင်းထားသောဒေတာကို အသုံးပြုကာ အခြားစနစ်များသို့ ပျံ့နှံ့သွားမည်ဖြစ်သည်။

ဒေသဆိုင်ရာအကောင့်တစ်ခုဖန်တီးခြင်းနှင့် ဒေသတွင်းအုပ်စုများတွင် အပြောင်းအလဲများ (ဖြစ်ရပ်များ 4720၊ 4722–4726၊ 4738၊ 4740၊ 4767၊ 4780၊ 4781၊ 4794၊ 5376 နှင့် 5377)။ ဥပမာအားဖြင့်၊ ဒေသန္တရ စီမံခန့်ခွဲသူများအဖွဲ့တွင် အသုံးပြုသူအသစ်ကို ထည့်သွင်းခြင်းဖြင့်လည်း တိုက်ခိုက်မှု စတင်နိုင်သည်။

ဒေသတွင်း အကောင့် (ဖြစ်ရပ် 4624) ဖြင့် ဝင်ရောက်ရန် ကြိုးပမ်းမှုများ။ လေးစားထိုက်သောအသုံးပြုသူများသည် ဒိုမိန်းအကောင့်တစ်ခုဖြင့် ဝင်ရောက်ပြီး ဒေသတွင်းအကောင့်တစ်ခုအောက်တွင် အကောင့်ဝင်ခြင်းကို ခွဲခြားသတ်မှတ်ခြင်းသည် တိုက်ခိုက်မှုတစ်ခု၏အစပြုခြင်းကို ဆိုလိုပါသည်။ Event 4624 တွင် ဒိုမိန်းအကောင့်တစ်ခုအောက်တွင် အကောင့်ဝင်ခြင်းများလည်း ပါဝင်သည်၊ ထို့ကြောင့် ပွဲများကို လုပ်ဆောင်သည့်အခါ၊ domain သည် workstation အမည်နှင့် ကွဲပြားသည့် ဖြစ်ရပ်များကို စစ်ထုတ်ရန် လိုအပ်ပါသည်။

သတ်မှတ်ထားသောအကောင့် (ဖြစ်ရပ် 4648) ဖြင့် ဝင်ရောက်ရန် ကြိုးပမ်းမှု။ လုပ်ငန်းစဉ်သည် “run as” မုဒ်တွင် လုပ်ဆောင်နေချိန်တွင် ၎င်းသည် ဖြစ်ပေါ်သည်။ စနစ်များ ပုံမှန်လည်ပတ်နေချိန်တွင် ထိုသို့မဖြစ်သင့်သောကြောင့် ထိုသို့သောဖြစ်ရပ်များကို ထိန်းချုပ်ရပါမည်။

အလုပ်ရုံကို လော့ခ်ချခြင်း/သော့ဖွင့်ခြင်း (ဖြစ်ရပ်များ 4800-4803)။ သံသယဖြစ်ဖွယ်ဖြစ်ရပ်များ အမျိုးအစားတွင် လော့ခ်ချထားသော အလုပ်ရုံတွင် ဖြစ်ပွားခဲ့သော လုပ်ဆောင်ချက်များ ပါဝင်သည်။

Firewall configuration အပြောင်းအလဲများ (ဖြစ်ရပ်များ 4944-4958)။ ဆော့ဖ်ဝဲလ်အသစ်ကို ထည့်သွင်းသောအခါတွင်၊ firewall configuration ဆက်တင်များသည် မှားယွင်းသောအပြုသဘောများကိုဖြစ်ပေါ်စေသည် ထင်ရှားသည်။ ကိစ္စအများစုတွင်၊ ထိုသို့သောပြောင်းလဲမှုများကို ထိန်းချုပ်ရန်မလိုအပ်သော်လည်း ၎င်းတို့အကြောင်းသိရန်မှာ သေချာပေါက် ထိခိုက်မည်မဟုတ်ပါ။

Plug'n'play စက်ပစ္စည်းများကို ချိတ်ဆက်ခြင်း (ဖြစ်ရပ် 6416 နှင့် Windows 10 အတွက်သာ)။ အသုံးပြုသူများသည် ပုံမှန်အားဖြင့် စက်အသစ်များကို workstation နှင့် မချိတ်ဆက်ဘဲ ရုတ်တရက် ၎င်းတို့ဖြစ်သွားပါက ၎င်းကို စောင့်ကြည့်ရန် အရေးကြီးပါသည်။

Windows တွင် စာရင်းစစ်အမျိုးအစား ၉ ခုနှင့် အမျိုးအစားခွဲ ၅၀ ပါဝင်သည်။ ဆက်တင်များတွင် ဖွင့်ထားသင့်သော အနိမ့်ဆုံး အမျိုးအစားခွဲများ အစုံလိုက်-

ဝင်ရောက် / Logoff

• Logon;
• လော့ဂ်အော့ဖ်လုပ်ထွက်ခြင်း;
• အကောင့်လော့ခ်ချခြင်း;
• အခြား Logon/Logoff ပွဲများ။

အကောင့်စီမံခန့်ခွဲမှု

• အသုံးပြုသူအကောင့်စီမံခန့်ခွဲမှု
• လုံခြုံရေးအဖွဲ့စီမံခန့်ခွဲမှု။

မူဝါဒပြောင်းလဲခြင်း။

• စာရင်းစစ်မူဝါဒ ပြောင်းလဲခြင်း၊
• အထောက်အထားစိစစ်ခြင်းဆိုင်ရာ မူဝါဒပြောင်းလဲမှု၊
• ခွင့်ပြုချက်မူဝါဒပြောင်းလဲခြင်း။

စနစ်စောင့်ကြည့်ရေး (Sysmon)

Sysmon သည် system log တွင်ဖြစ်ရပ်များကိုမှတ်တမ်းတင်နိုင်သော Windows တွင်တည်ဆောက်ထားသော utility တစ်ခုဖြစ်သည်။ အများအားဖြင့် သီးခြားတပ်ဆင်ရန် လိုအပ်သည်။

အခြေခံအားဖြင့် ဤတူညီသောဖြစ်ရပ်များကို လုံခြုံရေးမှတ်တမ်း (အလိုရှိသောစာရင်းစစ်မူဝါဒကိုဖွင့်ခြင်းဖြင့်) တွင်တွေ့နိုင်သော်လည်း Sysmon သည်အသေးစိတ်အချက်အလက်များကိုပေးသည်။ Sysmon မှ မည်သည့်ဖြစ်ရပ်များကို ယူဆောင်နိုင်သနည်း။

လုပ်ငန်းစဉ်ဖန်တီးခြင်း (ဖြစ်ရပ် ID 1)။ စနစ်လုံခြုံရေးဖြစ်ရပ်မှတ်တမ်းသည် *.exe စတင်သည့်အခါတွင်၎င်း၏အမည်နှင့်စတင်သည့်လမ်းကြောင်းကိုပင်ပြသနိုင်သည်။ သို့သော် Sysmon နှင့်မတူဘဲ၊ ၎င်းသည် application hash ကိုပြသနိုင်လိမ့်မည်မဟုတ်ပါ။ အန္တရာယ်ရှိသောဆော့ဖ်ဝဲလ်ကို အန္တရာယ်မရှိသော notepad.exe ဟုပင်ခေါ်ဆိုနိုင်သော်လည်း ၎င်းသည် ၎င်းအား မီးလင်းစေမည့် hash ဖြစ်သည်။

ကွန်ရက်ချိတ်ဆက်မှုများ (ဖြစ်ရပ် ID 3)။ ထင်ရှားသည်မှာ၊ ကွန်ရက်ချိတ်ဆက်မှုများ အများအပြားရှိပြီး ၎င်းတို့အားလုံးကို ခြေရာခံရန် မဖြစ်နိုင်ပေ။ သို့သော် Security Log နှင့်မတူဘဲ Sysmon သည် ProcessID နှင့် ProcessGUID အကွက်များနှင့် ကွန်ရက်ချိတ်ဆက်မှုကို ချိတ်ဆက်နိုင်ပြီး အရင်းအမြစ်နှင့် ဦးတည်ရာ၏ ဆိပ်ကမ်းနှင့် IP လိပ်စာများကို ပြသနိုင်သည်ကို ထည့်သွင်းစဉ်းစားရန် အရေးကြီးပါသည်။

စနစ်မှတ်ပုံတင်ခြင်းတွင် အပြောင်းအလဲများ (ဖြစ်ရပ် ID 12-14)။ autorun တွင် သင့်ကိုယ်သင်ထည့်ရန် အလွယ်ဆုံးနည်းလမ်းမှာ registry တွင် စာရင်းသွင်းရန်ဖြစ်သည်။ Security Log က ဒါကိုလုပ်ဆောင်နိုင်ပေမယ့် Sysmon က ဘယ်သူက အပြောင်းအလဲတွေ၊ ဘယ်အချိန်၊ ဘယ်ကနေ၊ လုပ်ငန်းစဉ် ID နဲ့ ယခင်သော့တန်ဖိုးတွေကို ပြပေးတယ်။

ဖိုင်ဖန်တီးမှု (ဖြစ်ရပ် ID 11)။ Sysmon သည် Security Log နှင့်မတူဘဲ၊ ဖိုင်၏တည်နေရာကိုသာမက ၎င်း၏အမည်ကိုလည်း ပြသမည်ဖြစ်သည်။ သင်အရာအားလုံးကို ခြေရာခံနိုင်မည်မဟုတ်ကြောင်း သိသာထင်ရှားသော်လည်း အချို့သောလမ်းညွှန်များကို သင်စစ်ဆေးနိုင်သည်။

ယခုတွင် Security Log မူဝါဒများတွင် မရှိသော်လည်း Sysmon တွင်ရှိသည်-

ဖိုင်ဖန်တီးမှုအချိန်အပြောင်းအလဲ (ဖြစ်ရပ် ID 2)။ အချို့သော malware များသည် မကြာသေးမီက ဖန်တီးထားသောဖိုင်များ၏ အစီရင်ခံစာများမှ ၎င်းကို ဝှက်ထားရန် ဖိုင်တစ်ခု၏ ဖန်တီးရက်စွဲကို အတုအယောင်ပြုလုပ်နိုင်သည်။

ဒရိုက်ဘာများနှင့် ပြောင်းလဲနေသော ဒစ်ဂျစ်တယ်များကို တင်နေသည် (ဖြစ်ရပ် ID 6-7)။ ဒစ်ဂျစ်တယ်လက်မှတ်နှင့် ၎င်း၏တရားဝင်မှုကို စစ်ဆေးခြင်း၊ DLL များနှင့် စက်ပစ္စည်းဒရိုင်ဘာများကို မှတ်ဉာဏ်ထဲသို့ ထည့်သွင်းခြင်းအား စောင့်ကြည့်ခြင်း။

လုပ်ဆောင်နေသည့် လုပ်ငန်းစဉ်တွင် စာတွဲတစ်ခု ဖန်တီးပါ (ဖြစ်ရပ် ID 8)။ စောင့်ကြည့်ရမယ့် တိုက်ခိုက်မှု အမျိုးအစားတစ်ခုလည်း ဖြစ်ပါတယ်။

RawAccessRead Events (Event ID 9)။ “” ကို အသုံးပြု၍ ဒစ်ဖတ်ခြင်း လုပ်ဆောင်ချက်များ။ အမှုအခင်းအများစုတွင်၊ ထိုသို့သောလှုပ်ရှားမှုသည် ပုံမှန်မဟုတ်ဟု ယူဆသင့်သည်။

အမည်ရှိ ဖိုင်စီးကြောင်းတစ်ခု ဖန်တီးပါ (ဖြစ်ရပ် ID 15)။ ဖိုင်၏အကြောင်းအရာများကို ဟက်ရှ်ဖြင့် ဖြစ်ရပ်များကို ထုတ်လွှတ်သည့် အမည်ရှိသော ဖိုင်စီးကြောင်းကို ဖန်တီးသည့်အခါ ဖြစ်ရပ်တစ်ခုကို မှတ်တမ်းတင်ထားသည်။

အမည်ရှိ ပိုက်နှင့် ချိတ်ဆက်မှု ဖန်တီးခြင်း (ဖြစ်ရပ် ID 17-18)။ အမည်ရှိသောပိုက်မှတဆင့် အခြားအစိတ်အပိုင်းများနှင့် ဆက်သွယ်သည့် အန္တရာယ်ရှိသောကုဒ်ကို ခြေရာခံခြင်း။

WMI လုပ်ဆောင်ချက် (ဖြစ်ရပ် ID 19)။ WMI ပရိုတိုကောမှတစ်ဆင့် စနစ်သို့ ဝင်ရောက်သည့်အခါ ထုတ်ပေးသည့် အဖြစ်အပျက်များကို မှတ်ပုံတင်ခြင်း။

Sysmon ကိုယ်တိုင်ကာကွယ်ရန်အတွက် သင်သည် ID 4 (Sysmon ရပ်တန့်ခြင်းနှင့် စတင်ခြင်း) နှင့် ID 16 (Sysmon ဖွဲ့စည်းမှုပုံစံပြောင်းလဲမှုများ) ဖြင့် ဖြစ်ရပ်များကို စောင့်ကြည့်ရန် လိုအပ်သည်။

Power Shell မှတ်တမ်းများ

Power Shell သည် Windows အခြေခံအဆောက်အအုံများကို စီမံခန့်ခွဲရန် အစွမ်းထက်သည့်ကိရိယာတစ်ခုဖြစ်သောကြောင့် တိုက်ခိုက်သူမှ ၎င်းကိုရွေးချယ်ရန် အခွင့်အလမ်းများပါသည်။ Power Shell ဖြစ်ရပ်ဒေတာကို ရယူရန် သင်အသုံးပြုနိုင်သည့် ရင်းမြစ်နှစ်ခုရှိသည်- Windows PowerShell မှတ်တမ်းနှင့် Microsoft-WindowsPowerShell/Operational မှတ်တမ်း။

Windows PowerShell မှတ်တမ်း

ဒေတာပံ့ပိုးပေးသူ (ဖြစ်ရပ် ID 600) ကို တင်ထားသည်။ PowerShell ပံ့ပိုးပေးသူများသည် PowerShell ကြည့်ရှုစီမံရန်အတွက် ဒေတာအရင်းအမြစ်ကို ပံ့ပိုးပေးသည့် ပရိုဂရမ်များဖြစ်သည်။ ဥပမာအားဖြင့်၊ built-in ပံ့ပိုးပေးသူများသည် Windows ပတ် ၀ န်းကျင် variables သို့မဟုတ် system registry ဖြစ်နိုင်သည်။ အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်ကို အချိန်မီသိရှိနိုင်စေရန် ပေးသွင်းသူအသစ်များ ပေါ်ပေါက်လာမှုကို စောင့်ကြည့်ရမည်ဖြစ်သည်။ ဥပမာအားဖြင့်၊ ဝန်ဆောင်မှုပေးသူများကြားတွင် WSMan ပေါ်လာသည်ကို သင်မြင်ပါက၊ အဝေးထိန်း PowerShell စက်ရှင်ကို စတင်လိုက်ပါပြီ။

Microsoft-WindowsPowerShell / လည်ပတ်မှုမှတ်တမ်း (သို့မဟုတ် MicrosoftWindows-PowerShellCore / PowerShell 6 တွင် လည်ပတ်မှု)

မော်ဂျူး မှတ်တမ်းရေးခြင်း (ဖြစ်ရပ် ID 4103)။ Events များသည် execute command တစ်ခုစီနှင့် ၎င်းကိုခေါ်သည့် parameters များအကြောင်း အချက်အလက်များကို သိမ်းဆည်းပါသည်။

ဇာတ်ညွှန်းပိတ်ဆို့ခြင်းမှတ်တမ်း (ဖြစ်ရပ် ID 4104)။ Script ပိတ်ဆို့ခြင်းမှတ်တမ်းသည် PowerShell ကုဒ်လုပ်ထားသော ပိတ်ဆို့တိုင်းကို ပြသသည်။ တိုက်ခိုက်သူသည် အမိန့်ကို ဖျောက်ရန် ကြိုးစားသော်လည်း၊ ဤဖြစ်ရပ် အမျိုးအစားသည် အမှန်တကယ် လုပ်ဆောင်ခဲ့သည့် PowerShell အမိန့်ကို ပြသမည်ဖြစ်သည်။ ဤဖြစ်ရပ်အမျိုးအစားသည် အဆင့်နိမ့် API ခေါ်ဆိုမှုအချို့ကိုလည်း မှတ်တမ်းတင်နိုင်သည်၊ ဤဖြစ်ရပ်များကို အများအားဖြင့် Verbose အဖြစ် မှတ်တမ်းတင်ထားသော်လည်း၊ သံသယဖြစ်ဖွယ် command သို့မဟုတ် script ကို ကုဒ်ဘလော့တစ်ခုတွင် အသုံးပြုပါက၊ ၎င်းအား သတိပေးချက် ပြင်းထန်မှုအဖြစ် မှတ်တမ်းဝင်သွားပါမည်။

ဤဖြစ်ရပ်များကို စုဆောင်းပြီး ခွဲခြမ်းစိတ်ဖြာရန် ကိရိယာကို ပြင်ဆင်သတ်မှတ်ပြီးသည်နှင့်၊ မှားယွင်းသော အပြုသဘောဆောင်သည့် အရေအတွက်ကို လျှော့ချရန် နောက်ထပ် အမှားရှာပြင်ချိန် လိုအပ်မည်ဖြစ်သည်။

သတင်းအချက်အလက်လုံခြုံရေးစစ်ဆေးမှုအတွက် သင်စုဆောင်းထားသည့် မည်သည့်မှတ်တမ်းများကို မှတ်ချက်များနှင့် ဤအတွက် သင်အသုံးပြုသည့်ကိရိယာများကို ကျွန်ုပ်တို့အား ပြောပြပါ။ ကျွန်ုပ်တို့၏အာရုံစိုက်မှုနယ်ပယ်များထဲမှတစ်ခုမှာ သတင်းအချက်အလက်လုံခြုံရေးဖြစ်ရပ်များကို စစ်ဆေးခြင်းအတွက် အဖြေများဖြစ်သည်။ မှတ်တမ်းများ စုဆောင်းခြင်းနှင့် ခွဲခြမ်းစိတ်ဖြာခြင်း ပြဿနာကို ဖြေရှင်းရန်၊ ကျွန်ုပ်တို့သည် ပိုမိုနီးကပ်စွာ ကြည့်ရှုရန် အကြံပြုနိုင်ပါသည်။ Quest InTrust20:1 အချိုးဖြင့် သိမ်းဆည်းထားသော ဒေတာကို ချုံ့နိုင်သည်၊ ၎င်းတွင် ထည့်သွင်းထားသည့် ဖြစ်ရပ်တစ်ခုသည် ရင်းမြစ် 60000 မှ တစ်စက္ကန့်လျှင် ဖြစ်ရပ်ပေါင်း 10000 အထိ လုပ်ဆောင်နိုင်သည်။

source: www.habr.com