Brukerarbeidsstasjonen er det mest sÄrbare punktet i infrastrukturen nÄr det gjelder informasjonssikkerhet. Brukere kan motta et brev til jobbe-e-posten som ser ut til Ä vÊre fra en sikker kilde, men med en lenke til et infisert nettsted. Kanskje noen vil laste ned et verktÞy som er nyttig for arbeid fra et ukjent sted. Ja, du kan komme opp med dusinvis av tilfeller av hvordan skadelig programvare kan infiltrere interne bedriftsressurser gjennom brukere. Derfor krever arbeidsstasjoner Þkt oppmerksomhet, og i denne artikkelen vil vi fortelle deg hvor og hvilke hendelser du bÞr ta for Ä overvÄke angrep.
For Ä oppdage et angrep pÄ et tidligst mulig stadium, har Windows tre nyttige hendelseskilder: sikkerhetshendelsesloggen, systemovervÄkingsloggen og Power Shell-loggene.
Sikkerhetshendelseslogg
Dette er hovedlagringsstedet for systemsikkerhetslogger. Dette inkluderer hendelser med brukerinnlogging/utlogging, tilgang til objekter, policyendringer og andre sikkerhetsrelaterte aktiviteter. SelvfĂžlgelig, hvis riktig policy er konfigurert.
Oppregning av brukere og grupper (hendelser 4798 og 4799). Helt i begynnelsen av et angrep sÞker skadelig programvare ofte gjennom lokale brukerkontoer og lokale grupper pÄ en arbeidsstasjon for Ä finne legitimasjon for dens lyssky handlinger. Disse hendelsene vil bidra til Ä oppdage ondsinnet kode fÞr den gÄr videre og, ved Ä bruke de innsamlede dataene, spres til andre systemer.
Oppretting av en lokal konto og endringer i lokale grupper (hendelser 4720, 4722â4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 og 5377). Angrepet kan ogsĂ„ starte, for eksempel ved Ă„ legge til en ny bruker i den lokale administratorgruppen.
PÄloggingsforsÞk med en lokal konto (hendelse 4624). Respektable brukere logger pÄ med en domenekonto, og Ä identifisere en pÄlogging under en lokal konto kan bety starten pÄ et angrep. Event 4624 inkluderer ogsÄ pÄlogginger under en domenekonto, sÄ nÄr du behandler hendelser, mÄ du filtrere ut hendelser der domenet er forskjellig fra arbeidsstasjonsnavnet.
Et forsÞk pÄ Ä logge pÄ med den angitte kontoen (hendelse 4648). Dette skjer nÄr prosessen kjÞrer i "kjÞr som"-modus. Dette skal ikke skje under normal drift av systemer, sÄ slike hendelser mÄ kontrolleres.
LÄse/lÄse opp arbeidsstasjonen (hendelser 4800-4803). Kategorien mistenkelige hendelser inkluderer alle handlinger som har skjedd pÄ en lÄst arbeidsstasjon.
Brannmurkonfigurasjonsendringer (hendelser 4944-4958). à penbart, nÄr du installerer ny programvare, kan brannmurens konfigurasjonsinnstillinger endres, noe som vil forÄrsake falske positiver. I de fleste tilfeller er det ikke nÞdvendig Ä kontrollere slike endringer, men det vil definitivt ikke skade Ä vite om dem.
Tilkobling av Plug'n'play-enheter (hendelse 6416 og kun for WIndows 10). Det er viktig Ă„ holde Ăžye med dette hvis brukere vanligvis ikke kobler nye enheter til arbeidsstasjonen, men plutselig gjĂžr de det.
Windows Inkluderer 9 revisjonskategorier og 50 underkategorier for finjustering. Minimumssettet med underkategorier som bĂžr aktiveres i innstillingene:
PÄlogging / pÄlogging
- Logg pÄ;
- Logg av;
- kontosperre;
- Andre pÄloggings-/avloggingshendelser.
Account Management
- Brukerkontoadministrasjon;
- Sikkerhetsgruppeledelse.
Policyendring
- Endring av revisjonspolicy;
- Endring av autentiseringspolicy;
- Endring av autorisasjonspolicy.
System Monitor (Sysmon)
Sysmon er innebygd Windows Et verktĂžy som kan registrere hendelser i systemloggen. Det krever vanligvis separat installasjon.
De samme hendelsene kan i prinsippet finnes i sikkerhetsloggen (ved Ă„ aktivere Ăžnsket revisjonspolicy), men Sysmon gir flere detaljer. Hvilke hendelser kan hentes fra Sysmon?
Prosessoppretting (hendelses-ID 1). Systemsikkerhetshendelsesloggen kan ogsÄ fortelle deg nÄr en *.exe startet og til og med vise navnet og startbanen. Men i motsetning til Sysmon, vil den ikke kunne vise applikasjonens hash. Skadelig programvare kan til og med kalles harmless notepad.exe, men det er hashen som vil bringe det frem i lyset.
Nettverkstilkoblinger (Hendelses-ID 3). Det er Ă„penbart mange nettverkstilkoblinger, og det er umulig Ă„ holde oversikt over dem alle. Men det er viktig Ă„ huske pĂ„ at Sysmon, i motsetning til sikkerhetsloggen, kan koble en nettverkstilkobling til feltene ProcessID og ProcessGUID, og ââvise porten og IP-adresser kilde og mottaker.
Endringer i systemregisteret (hendelses-ID 12-14). Den enkleste mÄten Ä legge deg selv til autorun er Ä registrere seg i registeret. Sikkerhetslogg kan gjÞre dette, men Sysmon viser hvem som har gjort endringene, nÄr, hvorfra, prosess-ID og forrige nÞkkelverdi.
Filoppretting (hendelses-ID 11). Sysmon, i motsetning til Security Log, viser ikke bare plasseringen av filen, men ogsÄ navnet. Det er klart at du ikke kan holde styr pÄ alt, men du kan revidere visse kataloger.
Og nÄ er det som ikke er i sikkerhetsloggpolicyer, men i Sysmon:
Endring av filopprettingstidspunkt (Event ID 2). Noe skadelig programvare kan forfalske en fils opprettelsesdato for Ă„ skjule den fra rapporter om nylig opprettede filer.
Laster drivere og dynamiske biblioteker (hendelses-ID 6-7). OvervÄker lasting av DLL-er og enhetsdrivere i minnet, kontrollerer den digitale signaturen og dens gyldighet.
Opprett en trÄd i en lÞpende prosess (hendelses-ID 8). En type angrep som ogsÄ mÄ overvÄkes.
RawAccessRead-hendelser (Event ID 9). Diskleseoperasjoner ved Ă„ bruke â.â. I de aller fleste tilfeller bĂžr slik aktivitet anses som unormal.
Opprett en navngitt filstrÞm (hendelses-ID 15). En hendelse logges nÄr en navngitt filstrÞm opprettes som sender ut hendelser med en hash av filens innhold.
Opprette et navngitt rĂžr og kobling (hendelse ID 17-18). Sporing av ondsinnet kode som kommuniserer med andre komponenter gjennom det navngitte rĂžret.
WMI-aktivitet (hendelses-ID 19). Registrering av hendelser som genereres ved tilgang til systemet via WMI-protokollen.
For Ä beskytte Sysmon selv, mÄ du overvÄke hendelser med ID 4 (Sysmon stopper og starter) og ID 16 (Sysmon-konfigurasjonsendringer).
Power Shell-logger
Power Shell er et kraftig administrasjonsverktÞy Windows-infrastruktur, sÄ sjansen er stor for at en angriper vil velge den. To kilder kan brukes til Ä innhente PowerShell-hendelsesdata: Windows PowerShell-logg og Microsoft-WindowsPowerShell / Driftslogg.
Windows PowerShell-logg
DataleverandÞren er lastet inn (hendelses-ID 600). PowerShell-leverandÞrer er programmer som fungerer som en datakilde for visning og administrasjon av PowerShell. Innebygde leverandÞrer kan for eksempel vÊre miljÞvariabler. Windows eller systemregisteret. Du bÞr overvÄke utseendet til nye leverandÞrer for Ä oppdage ondsinnet aktivitet raskt. Hvis du for eksempel ser WSMan som en leverandÞr, betyr det at en ekstern PowerShell-Þkt har blitt startet.
Microsoft-WindowsPowerShell / Driftslogg (eller MicrosoftWindows-PowerShellCore/Operasjonell i PowerShell 6)
Modullogging (hendelses-ID 4103). Hendelser lagrer informasjon om hver utfĂžrte kommando og parameterne som den ble kalt.
Skriptblokkerende logging (hendelses-ID 4104). Skriptblokkeringslogging viser hver blokk med PowerShell-kode som er utfÞrt. Selv om en angriper prÞver Ä skjule kommandoen, vil denne hendelsestypen vise PowerShell-kommandoen som faktisk ble utfÞrt. Denne hendelsestypen kan ogsÄ logge enkelte API-anrop pÄ lavt nivÄ. Disse hendelsene blir vanligvis registrert som OrdinÊre, men hvis en mistenkelig kommando eller et skript brukes i en kodeblokk, vil det bli logget som en advarselsgrad.
VÊr oppmerksom pÄ at nÄr verktÞyet er konfigurert til Ä samle inn og analysere disse hendelsene, vil det kreves ekstra feilsÞkingstid for Ä redusere antallet falske positive.
Fortell oss i kommentarfeltet hvilke logger du samler inn for informasjonssikkerhetsrevisjoner og hvilke verktÞy du bruker til dette. Et av vÄre fokusomrÄder er lÞsninger for revisjon av informasjonssikkerhetshendelser. For Ä lÞse problemet med Ä samle og analysere logger, kan vi foreslÄ Ä se nÊrmere pÄ , som kan komprimere lagrede data med et forhold pÄ 20:1, og én installert forekomst av den er i stand til Ä behandle opptil 60000 10000 hendelser per sekund fra XNUMX XNUMX kilder.
Kilde: www.habr.com
