معلومات جي حفاظت جي لحاظ کان استعمال ڪندڙ ورڪ اسٽيشن بنيادي ڍانچي جو سڀ کان وڌيڪ خطرناڪ نقطو آهي. صارفين کي شايد انهن جي ڪم جي اي ميل تي هڪ خط ملي سگهي ٿو جيڪو ظاهر ٿئي ٿو ته هڪ محفوظ ذريعو کان، پر هڪ متاثر ٿيل سائيٽ جي لنڪ سان. ٿي سگهي ٿو ڪو ماڻهو اڻڄاتل هنڌ تان ڪم لاءِ مفيد يوٽيلٽي ڊائون لوڊ ڪندو. ها، توهان ڪيترن ئي ڪيسن سان گڏ اچي سگهو ٿا ته ڪيئن مالويئر صارفين ذريعي اندروني ڪارپوريٽ وسيلن کي ڦهلائي سگهي ٿو. تنهن ڪري، ڪم اسٽيشنن کي وڌيڪ ڌيان ڏيڻ جي ضرورت آهي، ۽ هن آرٽيڪل ۾ اسين توهان کي ٻڌائي سگهنداسين ته ڪٿي ۽ ڪهڙا واقعا حملن جي نگراني ڪرڻ لاء.
شروعاتي ممڪن اسٽيج تي حملي کي ڳولڻ لاءِ، ونڊوز وٽ ٽي ڪارآمد واقعي جا ذريعا آهن: سيڪيورٽي ايونٽ لاگ، سسٽم مانيٽرنگ لاگ، ۽ پاور شيل لاگز.
سيڪيورٽي ايونٽ لاگ
هي سسٽم سيڪيورٽي لاگز لاء مکيه اسٽوريج جڳهه آهي. ھن ۾ شامل آھن يوزر لاگ ان/لاگ آئوٽ جا واقعا، شيون تائين رسائي، پاليسي تبديليون، ۽ ٻيون سيڪيورٽي سان لاڳاپيل سرگرميون. يقينا، جيڪڏهن مناسب پاليسي ترتيب ڏني وئي آهي.
صارفين ۽ گروپن جي ڳڻپ (واقعات 4798 ۽ 4799). حملي جي شروعات ۾، مالويئر اڪثر ڪري مقامي صارف اڪائونٽس ۽ مقامي گروپن جي ذريعي ڳولهي ٿو هڪ ورڪ اسٽيشن تي ان جي شرمناڪ معاملن لاءِ سندون ڳولڻ لاءِ. اهي واقعا بدسلوڪي ڪوڊ ڳولڻ ۾ مدد ڪندا ان کان اڳ جو اهو اڳتي وڌندو ۽، گڏ ڪيل ڊيٽا کي استعمال ڪندي، ٻين سسٽم ڏانهن اسپريڊ ڪندو.
مقامي اڪائونٽ ٺاهڻ ۽ مقامي گروپن ۾ تبديليون (واقعات 4720، 4722–4726، 4738، 4740، 4767، 4780، 4781، 4794، 5376 ۽ 5377). حملو پڻ شروع ڪري سگھي ٿو، مثال طور، مقامي منتظمين جي گروپ ۾ نئين صارف کي شامل ڪندي.
مقامي اڪائونٽ سان لاگ ان جي ڪوشش (واقعي 4624). معزز استعمال ڪندڙ ڊومين اڪائونٽ سان لاگ ان ڪريو، ۽ مقامي اڪائونٽ جي تحت لاگ ان کي سڃاڻڻ جو مطلب ٿي سگھي ٿو حملي جي شروعات. ايونٽ 4624 ۾ ڊومين اڪائونٽ جي تحت لاگ ان پڻ شامل آهي، تنهنڪري جڏهن واقعن کي پروسيس ڪندي، توهان کي واقعن کي فلٽر ڪرڻ جي ضرورت آهي جتي ڊومين ڪم اسٽيشن جي نالي کان مختلف آهي.
مخصوص اڪائونٽ سان لاگ ان ٿيڻ جي ڪوشش (واقعي 4648). اهو ٿئي ٿو جڏهن اهو عمل "رن جي طور تي" موڊ ۾ هلندو آهي. اهو سسٽم جي عام آپريشن دوران نه ٿيڻ گهرجي، تنهنڪري اهڙن واقعن کي ڪنٽرول ڪرڻ گهرجي.
ڪم اسٽيشن کي لاڪ ڪرڻ / ان لاڪ ڪرڻ (واقعات 4800-4803). مشڪوڪ واقعن جي درجي ۾ شامل آهن ڪو به عمل جيڪو بند ٿيل ڪم اسٽيشن تي واقع ٿيو.
فائر وال جي جوڙجڪ تبديليون (واقعات 4944-4958). ظاهر آهي، جڏهن نئين سافٽ ويئر کي نصب ڪرڻ، فائر وال جي جوڙجڪ سيٽنگون تبديل ٿي سگهن ٿيون، جيڪو غلط مثبت سبب ٿيندو. اڪثر ڪيسن ۾، اهڙين تبديلين کي ڪنٽرول ڪرڻ جي ڪا ضرورت ناهي، پر اهو ضرور انهن جي باري ۾ ڄاڻڻ کي نقصان نه ٿيندو.
پلگ ان پلے ڊوائيسز کي ڳنڍڻ (واقعي 6416 ۽ صرف ونڊوز 10 لاءِ). ان تي نظر رکڻ ضروري آهي جيڪڏهن صارف عام طور تي نون ڊوائيسن کي ڪم اسٽيشن سان ڳنڍڻ نه ٿا ڏين، پر پوءِ اوچتو اهي ڪندا آهن.
ونڊوز ۾ 9 آڊٽ زمرا ۽ 50 ذيلي زمرا شامل آھن فائن ٽيوننگ لاءِ. ذيلي زمرا جو گھٽ ۾ گھٽ سيٽ جيڪو سيٽنگون ۾ فعال ٿيڻ گھرجي:
لاگسن / لوگو
- اندر وڃو؛
- لاگ آف؛
- اڪائونٽ بند ڪرڻ؛
- ٻيا لاگ ان / لاگ آف واقعا.
اڪائونٽ جو انتظام
- يوزر اڪائونٽ مينيجمينٽ؛
- سيڪيورٽي گروپ مينيجمينٽ.
پاليسي جي تبديلي
- آڊٽ پاليسي ۾ تبديلي؛
- تصديق جي پاليسي جي تبديلي؛
- اختيار ڪرڻ واري پاليسي جي تبديلي.
سسٽم مانيٽر (Sysmon)
Sysmon ونڊوز ۾ ٺهيل هڪ افاديت آهي جيڪا سسٽم لاگ ۾ واقعن کي رڪارڊ ڪري سگهي ٿي. عام طور تي توهان کي الڳ الڳ انسٽال ڪرڻ جي ضرورت آهي.
اهي ساڳيون واقعا، اصول ۾، سيڪيورٽي لاگ ۾ ڳولي سگهجن ٿا (مطلوب آڊٽ پاليسي کي چالو ڪندي)، پر Sysmon وڌيڪ تفصيل فراهم ڪري ٿو. سيسمون مان ڪهڙا واقعا وٺي سگهجن ٿا؟
پروسيس ٺاھڻ (واقعي ID 1). سسٽم سيڪيورٽي ايونٽ لاگ پڻ توهان کي ٻڌائي سگهي ٿو جڏهن هڪ *.exe شروع ٿيو ۽ ان جو نالو ۽ لانچ رستو ڏيکاريو. پر Sysmon جي برعڪس، اهو ايپليڪيشن هيش ڏيکارڻ جي قابل نه هوندو. خراب سافٽ ويئر شايد بي ضرر notepad.exe سڏيو وڃي ٿو، پر اهو هيش آهي جيڪو ان کي روشني ۾ آڻيندو.
نيٽ ورڪ ڪنيڪشن (واقعي ID 3). ظاهر آهي، اتي ڪيترائي نيٽ ورڪ ڪنيڪشن آهن، ۽ اهو ناممڪن آهي ته انهن سڀني کي ٽريڪ رکڻ لاء. پر اهو غور ڪرڻ ضروري آهي ته Sysmon، سيڪيورٽي لاگ جي برعڪس، ProcessID ۽ ProcessGUID شعبن سان نيٽ ورڪ ڪنيڪشن کي پابند ڪري سگهي ٿو، ۽ ذريعو ۽ منزل جي بندرگاهن ۽ IP پتي کي ڏيکاري ٿو.
سسٽم رجسٽري ۾ تبديليون (واقعي ID 12-14). پنهنجو پاڻ کي autorun ۾ شامل ڪرڻ جو آسان طريقو رجسٽري ۾ رجسٽر ڪرڻ آهي. سيڪيورٽي لاگ اهو ڪري سگهي ٿو، پر Sysmon ڏيکاري ٿو ته تبديليون ڪير ڪيون، ڪڏهن، ڪٿان، پروسيس ID ۽ پوئين اهم قيمت.
فائل ٺاھڻ (واقعي ID 11). Sysmon، سيڪيورٽي لاگ جي برعڪس، ڏيکاريندو نه رڳو فائل جو مقام، پر ان جو نالو پڻ. اهو واضح آهي ته توهان هر شي جي ٽريڪ نٿا رکي سگهو، پر توهان ڪجهه ڊائريڪٽرن جي آڊٽ ڪري سگهو ٿا.
۽ هاڻي ڇا نه آهي سيڪيورٽي لاگ پاليسين ۾، پر سسمون ۾ آهي:
فائل ٺاھڻ جي وقت جي تبديلي (واقعي ID 2). ڪجھ مالويئر ھڪڙي فائل جي ٺاھڻ جي تاريخ کي چوري ڪري سگھي ٿو ان کي تازو ٺاھيل فائلن جي رپورٽن کان لڪائڻ لاءِ.
لوڊ ڪندي ڊرائيور ۽ متحرڪ لائبريريون (واقعي IDs 6-7). ڊي ايل ايلز ۽ ڊيوائس ڊرائيورز کي ميموري ۾ لوڊ ڪرڻ جي نگراني، ڊجيٽل دستخط ۽ ان جي صحيحيت جي جانچ ڪندي.
ھلندڙ عمل ۾ ھڪڙو موضوع ٺاھيو (واقعي ID 8). حملي جو هڪ قسم جنهن کي پڻ نگراني ڪرڻ جي ضرورت آهي.
RawAccessRead واقعا (واقعي ID 9). "." استعمال ڪندي ڊسڪ ريڊ آپريشن. ڪيسن جي وڏي اڪثريت ۾، اهڙي سرگرمي کي غير معمولي سمجهيو وڃي.
ھڪڙي نالي واري فائل اسٽريم ٺاھيو (واقعي ID 15). ھڪڙو واقعو لاگ ان ٿيندو آھي جڏھن ھڪڙي نالي واري فائل جو وهڪرو ٺاھيو ويندو آھي جيڪو واقعن کي فائل جي مواد جي ھش سان خارج ڪري ٿو.
نالي واري پائپ ۽ ڪنيڪشن ٺاهڻ (واقعي جي سڃاڻپ 17-18). ٽريڪنگ بدسلوڪي ڪوڊ جيڪو نالو پائپ ذريعي ٻين اجزاء سان رابطو ڪري ٿو.
WMI سرگرمي (واقعي ID 19). WMI پروٽوڪول ذريعي سسٽم تائين رسائي جي واقعن جي رجسٽريشن جيڪي ٺاهيا ويا آهن.
خود Sysmon کي بچائڻ لاءِ، توهان کي ID 4 (Sysmon اسٽاپ ۽ شروع ٿيڻ) ۽ ID 16 (Sysmon configuration change) سان واقعن جي نگراني ڪرڻ جي ضرورت آهي.
پاور شيل لاگز
پاور شيل ونڊوز انفراسٽرڪچر کي منظم ڪرڻ لاءِ هڪ طاقتور اوزار آهي، تنهن ڪري امڪان وڌيڪ آهن ته هڪ حملو ڪندڙ ان کي چونڊيندو. پاور شيل ايونٽ ڊيٽا حاصل ڪرڻ لاءِ توهان ٻه ذريعا استعمال ڪري سگهو ٿا: Windows PowerShell log ۽ Microsoft-WindowsPowerShell/Operational log.
Windows PowerShell لاگ
ڊيٽا فراهم ڪندڙ لوڊ ٿيل (واقعي ID 600). PowerShell مهيا ڪندڙ پروگرام آهن جيڪي پاورShell کي ڏسڻ ۽ منظم ڪرڻ لاءِ ڊيٽا جو ذريعو مهيا ڪن ٿا. مثال طور، بلٽ ان مهيا ڪندڙ ٿي سگھي ٿو Windows ماحولياتي متغير يا سسٽم رجسٽري. وقت ۾ بدڪاري واري سرگرمي کي ڳولڻ لاءِ نون سپلائرز جي ظاهر ٿيڻ جي نگراني ٿيڻ گهرجي. مثال طور، جيڪڏهن توهان ڏسو ٿا WSMan مهيا ڪندڙن جي وچ ۾ ظاهر ٿيو، ته پوءِ ريموٽ پاور شيل سيشن شروع ڪيو ويو آهي.
Microsoft-WindowsPowerShell / آپريشنل لاگ (يا MicrosoftWindows-PowerShellCore / PowerShell 6 ۾ آپريشنل)
ماڊل لاگنگ (واقعي ID 4103). واقعا هر عمل ٿيل ڪمانڊ جي باري ۾ معلومات کي ذخيرو ڪن ٿا ۽ پيٽرولر جنهن سان ان کي سڏيو ويو آهي.
اسڪرپٽ بلاڪنگ لاگنگ (واقعي ID 4104). اسڪرپٽ بلاڪنگ لاگنگ ڏيکاري ٿي PowerShell ڪوڊ جي هر بلاڪ تي عملدرآمد. جيتوڻيڪ ڪو حملو ڪندڙ حڪم کي لڪائڻ جي ڪوشش ڪري ٿو، هن واقعي جو قسم ڏيکاريندو PowerShell حڪم جيڪو اصل ۾ عمل ڪيو ويو هو. هن واقعي جو قسم پڻ لاگ ڪري سگھي ٿو ڪجھ گھٽ-سطح API ڪالون ڪيون وينديون آھن، اھي واقعا عام طور تي وربوز طور رڪارڊ ڪيا ويندا آھن، پر جيڪڏھن ڪو مشڪوڪ حڪم يا اسڪرپٽ ڪوڊ جي بلاڪ ۾ استعمال ڪيو ويندو آھي، اھو لاگ ان ڪيو ويندو خبرداري جي شدت جي طور تي.
مهرباني ڪري نوٽ ڪريو ته هڪ دفعو اوزار انهن واقعن کي گڏ ڪرڻ ۽ تجزيو ڪرڻ لاءِ ترتيب ڏنو ويندو، غلط مثبتن جو تعداد گهٽائڻ لاءِ اضافي ڊيبگنگ وقت جي ضرورت پوندي.
اسان کي تبصرن ۾ ٻڌايو ته توهان معلومات سيڪيورٽي آڊٽ لاءِ ڪهڙا لاگ گڏ ڪندا آهيو ۽ توهان هن لاءِ ڪهڙا اوزار استعمال ڪندا آهيو. اسان جي علائقن مان هڪ آهي آڊيٽنگ معلومات سيڪيورٽي واقعن لاءِ حل. لاگن کي گڏ ڪرڻ ۽ تجزيو ڪرڻ جي مسئلي کي حل ڪرڻ لاء، اسان کي هڪ ويجهي نظر وٺڻ جي صلاح ڪري سگهون ٿا ، جيڪو ذخيرو ٿيل ڊيٽا کي 20:1 جي تناسب سان گڏ ڪري سگھي ٿو، ۽ ان جو ھڪڙو نصب ٿيل مثال 60000 ذريعن مان 10000 واقعن في سيڪنڊ تائين پروسيسنگ ڪرڻ جي قابل آھي.
جو ذريعو: www.habr.com