دا مقاله د سیسمون ګواښ تحلیلونو لړۍ لومړۍ برخه ده. د لړۍ نورې ټولې برخې:
لومړۍ برخه: د سیسمون لاګ تحلیل پیژندنه (موږ دلته یو)
2 برخه: د ګواښونو پیژندلو لپاره د سیسمون پیښې ډیټا کارول
دریمه برخه. د ګرافونو په کارولو سره د سیسمون ګواښونو ژور تحلیل
که تاسو د معلوماتو امنیت کې کار کوئ، تاسو شاید ډیری وختونه د روانو بریدونو په اړه پوه شئ. که تاسو دمخه روزل شوې سترګې لرئ، تاسو کولی شئ په "خام" غیر پروسس شوي لاګونو کې غیر معیاري فعالیت وګورئ - ووایه، د پاور شیل سکریپټ روان دی یا د VBS سکریپټ د ورډ فایل په توګه نمایش کوي - په ساده ډول د وینډوز پیښې لاګ کې د وروستي فعالیت له لارې سکرول کول. مګر دا واقعیا لوی سر درد دی. خوشبختانه، مایکروسافټ سیسمون رامینځته کړی، کوم چې د برید تحلیل خورا اسانه کوي.
غواړئ د سیسمون لاګ کې ښودل شوي ګواښونو تر شا لومړني نظرونه پوه شئ؟ زموږ لارښود ډاونلوډ کړئ او تاسو پوهیږئ چې څنګه داخلي کسان کولی شي په پټه توګه نور کارمندان وګوري. د وینډوز پیښې لاګ سره کار کولو کې اصلي ستونزه د والدینو پروسو په اړه د معلوماتو نشتوالی دی ، د بیلګې په توګه. دا ناشونې ده چې د هغې څخه د پروسو په درجه بندي پوه شي. له بلې خوا د سیسمون لاګ ننوتنې د اصلي پروسې ID، د هغې نوم، او د پیل کولو لپاره د کمانډ لاین لري. مننه، مایکروسافټ.
زموږ د لړۍ په لومړۍ برخه کې، موږ به وګورو چې تاسو د سیسمون څخه د لومړنیو معلوماتو سره څه کولی شئ. په XNUMX برخه کې، موږ به د اصلي پروسې معلوماتو څخه پوره ګټه واخلو ترڅو ډیر پیچلي مطابقت جوړښتونه رامینځته کړي چې د ګواښ ګراف په نوم پیژندل کیږي. په دریمه برخه کې، موږ به یو ساده الګوریتم وګورو چې د ګواښ ګراف سکین کوي ترڅو د ګراف "وزن" تحلیل کولو سره د غیر معمولي فعالیت لټون وکړي. او په پای کې ، تاسو ته به د پاک (او د پوهیدو وړ) احتمالي ګواښ کشف کولو میتود سره انعام درکړل شي.
لومړۍ برخه: د سیسمون لاګ تحلیل پیژندنه
څه شی کولی شي تاسو سره د پیښې لاګ پیچلتیاو په پوهیدو کې مرسته وکړي؟ په پای کې - SIEM. دا پیښې نورمال کوي او د دوی راتلونکي تحلیلونه ساده کوي. مګر موږ باید دومره لرې لاړ نه شو، لږترلږه په لومړي سر کې نه. په پیل کې، د SIEM په اصولو پوهیدلو لپاره، دا به کافي وي چې په زړه پورې وړیا سیسمون افادیت هڅه وکړئ. او هغه د حیرانتیا سره کار کول اسانه دي. دا وساتئ، مایکروسافټ!
سیسمون کوم ځانګړتیاوې لري؟
په لنډه توګه - د پروسو په اړه ګټور او د لوستلو وړ معلومات (لاندې عکسونه وګورئ). تاسو به د ګټورو توضیحاتو یوه ډله ومومئ چې د وینډوز پیښې لاګ کې ندي ، مګر خورا مهم لاندې برخې دي:
- د پروسې ID (په لسیزه کې، نه هیکس!)
- د والدین پروسې ID
- د پروسې کمانډ لاین
- د اصلي پروسې کمانډ لاین
- د فایل عکس هش
- د فایل عکس نومونه
سیممون دواړه د وسیلې چلونکي او د خدمت په توګه نصب شوی - نور توضیحات د دې کلیدي ګټه د لاګونو تحلیل کولو وړتیا ده څو سرچینې، د معلوماتو اړیکه او د پایلې ارزښتونو محصول د یوې پیښې لوګو فولډر ته چې د لارې په اوږدو کې موقعیت لري مایکروسافټ -> وینډوز -> سیسمون -> عملیاتي. د وینډوز لاګونو په اړه زما د ویښتو لوړولو تحقیقاتو کې ، ما خپل ځان په دوامداره توګه وموند چې د پاور شیل لاګ فولډر او امنیت فولډر ترمینځ تیریږي ، د پیښې لاګونو له لارې په زړه پورې هڅه کې فلش کول ترڅو په یو ډول د دواړو ترمینځ ارزښتونه اړیکه ونیسي. . دا هیڅکله اسانه کار نه دی، او لکه څنګه چې ما وروسته پوه شو، دا غوره وه چې سمدستي اسپرین ذخیره کړئ.
سیممون د بنسټیزو پروسو په پوهیدو کې د مرستې لپاره ګټور (یا لکه څنګه چې پلورونکي غواړي ووایی، د عمل وړ) معلومات چمتو کولو سره کوانټم لیپ وړاندې کوي. د مثال په توګه، ما یوه پټه ناسته پیل کړه ، په شبکه کې د سمارټ داخلي حرکت حرکت کول. دا هغه څه دي چې تاسو به یې د وینډوز پیښې لاګ کې وګورئ:
د وینډوز لاګ د پروسې په اړه ځینې معلومات ښیې، مګر دا لږ کار کوي. پلس IDs پروسس په هیکساډیسیمل کې؟؟؟
د مسلکي IT مسلکي لپاره چې د هیک کولو اساساتو پوهه لري، د کمانډ لاین باید شکمن وي. بیا د بل کمانډ چلولو لپاره د cmd.exe کارول او محصول د عجیب نوم سره فایل ته لیږل په ښکاره ډول د نظارت او کنټرول سافټویر کړنو سره ورته دی : په دې توګه، د WMI خدماتو په کارولو سره یو سیډو شیل رامینځته کیږي.
اوس راځئ چې د سیسمون ننوتلو مساوي ته یو نظر وګورو، په پام کې نیولو سره چې دا موږ ته څومره اضافي معلومات راکوي:
په یوه سکرین شاټ کې د سیسمون ځانګړتیاوې: د پروسې په اړه مفصل معلومات د لوستلو وړ بڼه کې
تاسو نه یوازې د کمانډ لاین وګورئ ، بلکه د فایل نوم ، د اجرا وړ غوښتنلیک ته لاره ، هغه څه چې وینډوز پدې اړه پوهیږي ("د وینډوز کمانډ پروسیسر") ، پیژندونکی والدین پروسه، کمانډ لاین مور او پلار، کوم چې د cmd شیل په لاره اچولی، په بیله بیا د اصلي پروسې اصلي فایل نوم. هرڅه په یو ځای کې، په پای کې!
د سیسمون لاګ څخه موږ پایله کولی شو چې د لوړې کچې احتمال سره دا شکمن کمانډ لاین چې موږ په "خام" لاګونو کې ولیدل د کارمند د عادي کار پایله نده. برعکس، دا د C2 په څیر پروسې لخوا رامینځته شوی - wmiexec، لکه څنګه چې ما مخکې یادونه وکړه - او په مستقیم ډول د WMI خدماتو پروسې (WmiPrvSe) لخوا رامینځته شوی. اوس موږ یو شاخص لرو چې یو لیرې برید کونکی یا داخلي د کارپوریټ زیربنا ازموینه کوي.
د Get-Sysmonlogs معرفي کول
البته دا خورا ښه دی کله چې سیسمون لاګونه په یو ځای کې واچوي. مګر دا به خورا ښه وي که چیرې موږ کولی شو انفرادي لاګ ساحو ته په برنامه توګه لاسرسی ولرو - د مثال په توګه ، د پاور شیل کمانډونو له لارې. په دې حالت کې، تاسو کولی شئ یو کوچنی پاور شیل سکریپټ ولیکئ چې د احتمالي ګواښونو لټون به اتومات کړي!
زه لومړی نه وم چې دا ډول نظر لرم. او دا ښه ده چې په ځینې فورم پوسټونو او GitHub کې دا لا دمخه تشریح شوي چې څنګه د سیسمون لاګ پارس کولو لپاره پاور شیل وکاروئ. زما په قضیه کې ، زه غواړم د هر سیسمون ساحې لپاره د پارس کولو سکریپټ جلا لینونو لیکلو څخه مخنیوی وکړم. نو ما د سست سړي اصول کارولي او زه فکر کوم چې زه د پایلې په توګه یو څه په زړه پوري راوړم.
لومړی مهم ټکی د ټیم وړتیا ده د سیسمون لاګونه ولولئ ، اړین پیښې فلټر کړئ او پایله یې د PS متغیر ته راوړئ ، لکه دلته:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
که تاسو غواړئ کمانډ پخپله و ازموئ، د $events array په لومړي عنصر کې د منځپانګې په ښودلو سره، $events[0]. پیغام، محصول کیدای شي د متن تارونو لړۍ وي چې خورا ساده بڼه لري: د نوم نوم. د سیسمون ساحه، یو کولن، او بیا پخپله ارزښت.
هورې! د JSON چمتو شکل ته د سیسمون ننوتل
ایا تاسو هم زما په څیر فکر کوئ؟ د لږې هڅې سره، تاسو کولی شئ محصول په JSON فارمیټ شوي تار کې بدل کړئ او بیا یې د ځواکمن کمانډ په کارولو سره مستقیم په PS اعتراض کې بار کړئ. .
زه به د تبادلې لپاره د PowerShell کوډ وښایه - دا خورا ساده دی - په راتلونکې برخه کې. د اوس لپاره ، راځئ وګورو چې زما نوې کمانډ د get-sysmonlogs په نوم یادیږي ، کوم چې ما د PS ماډل په توګه نصب کړی ، کولی شي.
د دې پرځای چې د ناامنه پیښې لاګ انټرفیس له لارې د سیسمون لاګ تحلیل ته ژور ډوب کړئ ، موږ کولی شو په اسانۍ سره د پاور شیل ناستې څخه د زیاتیدونکي فعالیت لټون وکړو ، او همدارنګه د PS کمانډ وکاروو. (عرف - "؟") د لټون پایلې لنډولو لپاره:
د WMI له لارې پیل شوي د cmd شیلونو لیست. زموږ د خپل ګیټ - سیسمونلاګ ټیم سره په ارزانه بیه د ګواښ تحلیل
په زړه پورې! ما د سیسمون لاګ رایی ورکولو لپاره یوه وسیله رامینځته کړه لکه څنګه چې دا یو ډیټابیس وي. په اړه زموږ په مقاله کې دا یادونه وشوه چې دا فعالیت به د هغه ښه کارونې لخوا ترسره شي چې پدې کې تشریح شوي، که څه هم په رسمي توګه لاهم د ریښتیني SQL په څیر انٹرفیس له لارې. هو، EQL ښکلی، مګر موږ به یې په دریمه برخه کې لمس کړو.
سیسمون او ګراف تحلیل
راځئ چې شاته ولاړ شو او د هغه څه په اړه فکر وکړو چې موږ یې جوړ کړی. په لازمي ډول، موږ اوس د وینډوز پیښې ډیټابیس لرو چې د PowerShell له لارې د لاسرسي وړ دی. لکه څنګه چې ما مخکې یادونه وکړه، د ریکارډونو ترمنځ اړیکې یا اړیکې شتون لري - د ParentProcessId له لارې - نو د پروسو بشپړ درجه بندي ترلاسه کیدی شي.
که تاسو سریال لوستلی وي تاسو پوهیږئ چې هیکران د پیچلي څو مرحلو بریدونو رامینځته کولو سره مینه لري ، په کوم کې چې هره پروسه خپل کوچنی رول لوبوي او د راتلونکي مرحلې لپاره پسرلي چمتو کوي. دا خورا ستونزمن کار دی چې دا ډول شیان په ساده ډول د "خام" لاګ څخه ونیسي.
مګر زما د Get-Sysmonlogs کمانډ او د اضافي ډیټا جوړښت سره چې موږ به وروسته په متن کې وګورو (یو ګراف، البته)، موږ د ګواښونو موندلو لپاره یوه عملي لاره لرو - کوم چې یوازې د سم عمودی لټون کولو ته اړتیا لري.
د تل په څیر زموږ د DYI بلاګ پروژو سره، هرڅومره چې تاسو په کوچنۍ کچه د ګواښونو توضیحاتو تحلیل کولو باندې کار کوئ ، هومره به تاسو پوه شئ چې د تصدۍ په کچه د ګواښ کشف کول څومره پیچلي دي. او دا پوهاوی خورا ډیر دی مهم ټکی.
موږ به د مقالې په دویمه برخه کې لومړی په زړه پوري پیچلتیاو سره مخ شو ، چیرې چې موږ به د سیسمون پیښې یو له بل سره په خورا پیچلي جوړښتونو کې وصل کړو.
سرچینه: www.habr.com