هي مضمون هڪ سيريز جو پهريون حصو آهي Sysmon خطري جي تجزيو تي. سيريز جا ٻيا سڀئي حصا:
حصو 1: سسمون لاگ تجزيي جو تعارف (اسان هتي آهيون)
حصو 2: خطرن کي سڃاڻڻ لاءِ Sysmon ايونٽ ڊيٽا استعمال ڪرڻ
حصو 3. گرافس استعمال ڪندي سيممون خطرن جو عميق تجزيو
جيڪڏهن توهان معلومات جي حفاظت ۾ ڪم ڪريو ٿا، توهان کي شايد اڪثر ڪري جاري حملن کي سمجهڻو پوندو. جيڪڏهن توهان وٽ اڳ ۾ ئي هڪ تربيت يافته نظر آهي، ته توهان غير معياري سرگرمي ڳولي سگهو ٿا "خام" غير پروسيس ٿيل لاگز ۾ - چئو، هڪ PowerShell اسڪرپٽ هلندڙ آهي
سسمون لاگ ۾ ڏيکاريل خطرن جي پويان بنيادي خيالن کي سمجھڻ چاھيو ٿا؟ اسان جي گائيڊ ڊائون لوڊ ڪريو
اسان جي سيريز جي پهرين حصي ۾، اسان ڏسنداسين ته توهان ڇا ڪري سگهو ٿا سيسمون کان بنيادي معلومات سان. حصو XNUMX ۾، اسان والدين جي عمل جي معلومات جو پورو فائدو وٺنداسين وڌيڪ پيچيده تعميل واري جوڙجڪ ٺاهڻ لاءِ جيڪي خطري جي گراف جي نالي سان مشهور آهن. ٽئين حصي ۾، اسان هڪ سادي الگورتھم تي نظر ڪنداسين جيڪو گراف جي "وزن" جو تجزيو ڪندي غير معمولي سرگرمي کي ڳولڻ لاء خطري جي گراف کي اسڪين ڪري ٿو. ۽ آخر ۾، توهان کي هڪ صاف (۽ سمجھڻ وارو) امڪاني خطري جي ڳولا واري طريقي سان انعام ڏنو ويندو.
حصو 1: سسمون لاگ تجزيي جو تعارف
ايونٽ لاگ جي پيچيدگين کي سمجھڻ ۾ ڇا مدد ڪري سگھي ٿي؟ آخرڪار - SIEM. اهو واقعن کي معمول ڪري ٿو ۽ انهن جي ايندڙ تجزيي کي آسان بڻائي ٿو. پر اسان کي ايترو پري وڃڻو ناهي، گهٽ ۾ گهٽ پهرين ته نه. شروعات ۾، SIEM جي اصولن کي سمجهڻ لاء، اهو ڪافي ٿيندو ته شاندار مفت Sysmon افاديت کي آزمائي. ۽ هوء حيرت انگيز سان ڪم ڪرڻ آسان آهي. ان کي جاري رکو، Microsoft!
Sysmon ڇا خاصيتون آهن؟
مختصر ۾ - عمل جي باري ۾ مفيد ۽ پڙهڻ جي قابل معلومات (هيٺ ڏنل تصويرون ڏسو). توھان کي مفيد تفصيلن جو ھڪڙو گروپ ملندو جيڪي ونڊوز ايونٽ لاگ ۾ نه آھن، پر سڀ کان وڌيڪ اھم آھن ھيٺ ڏنل فيلڊ:
- پروسيس ID (اعشاري ۾، هيڪس نه!)
- والدين پروسيس ID
- عمل جي حڪم لائن
- والدين جي عمل جي حڪم لائن
- فائل تصوير هيش
- فائل تصويرن جا نالا
Sysmon هڪ ڊوائيس ڊرائيور ۽ هڪ خدمت جي طور تي نصب ٿيل آهي - وڌيڪ تفصيل
سسمون بنيادي عملن کي سمجھڻ ۾ مدد ڏيڻ لاءِ مفيد (يا وينڊرز جي چوڻ وانگر، قابل عمل) معلومات مهيا ڪندي ڪوانٽم ليپ اڳتي وٺي ٿو. مثال طور، مون هڪ ڳجهي سيشن شروع ڪيو
ونڊوز لاگ ان عمل جي باري ۾ ڪجهه معلومات ڏيکاري ٿو، پر اهو ٿورو استعمال جو آهي. پلس پروسيس IDs hexadecimal ۾ ؟؟؟
هڪ پروفيشنل آئي ٽي پروفيشنل لاءِ هيڪنگ جي بنيادي ڳالهين کي سمجهڻ سان، ڪمانڊ لائن کي مشڪوڪ هجڻ گهرجي. cmd.exe استعمال ڪندي پوءِ ٻيو ڪمانڊ هلائڻ ۽ آئوٽ پٽ کي فائل ڏانهن ريڊائريڪٽ ڪرڻ عجيب نالي سان واضح طور تي مانيٽرنگ ۽ ڪنٽرول سافٽ ويئر جي عملن سان ملندڙ جلندڙ آهي
ھاڻي اچو ته ھڪڙي نظر رکون سيسمون داخلا جي برابر، ياد رکون ٿا ته اھو اسان کي ڪيترو اضافي معلومات ڏئي ٿو:
هڪ اسڪرين شاٽ ۾ Sysmon خاصيتون: پروسيس بابت تفصيلي ڄاڻ پڙهڻ جي قابل فارم ۾
توهان نه رڳو ڪمانڊ لائن ڏسي سگهو ٿا، پر فائل جو نالو پڻ، ايگزيڪيوٽو ايپليڪيشن جو رستو، ونڊوز ان بابت ڇا ڄاڻي ٿو ("ونڊوز ڪمانڊ پروسيسر")، سڃاڻپ ڪندڙ والدين عمل، حڪم لائن والدين، جنهن کي شروع ڪيو cmd شيل، انهي سان گڏ اصل فائل جو نالو والدين جي عمل جو. سڀ ڪجهه هڪ جڳهه تي، آخرڪار!
Sysmon لاگ مان اسان اهو نتيجو ڪري سگھون ٿا ته وڏي امڪان سان هي مشڪوڪ ڪمانڊ لائن جيڪو اسان ڏٺو آهي "خام" لاگز ملازم جي عام ڪم جو نتيجو ناهي. ان جي برعڪس، اهو هڪ C2-جهڙو عمل جي ذريعي ٺاهي وئي هئي - wmiexec، جيئن مون اڳ ۾ ذڪر ڪيو آهي - ۽ سڌو سنئون WMI سروس پروسيس (WmiPrvSe) پاران پيدا ڪيو ويو. هاڻي اسان وٽ هڪ اشارو آهي ته هڪ ريموٽ حملو ڪندڙ يا اندروني ڪارپوريٽ انفراسٽرڪچر کي جانچي رهيو آهي.
Get-Sysmonlogs متعارف ڪرايو
يقينا اهو تمام سٺو آهي جڏهن سسمون لاگز کي هڪ جڳهه تي رکي ٿو. پر اهو شايد اڃا به بهتر هوندو جيڪڏهن اسان انفرادي لاگ فيلڊز تائين رسائي حاصل ڪري سگهون ٿا پروگرام طور - مثال طور، PowerShell حڪمن ذريعي. انهي صورت ۾، توهان هڪ ننڍڙو پاور شيل اسڪرپٽ لکي سگهو ٿا جيڪو ممڪن خطرن جي ڳولا کي خودڪار ڪندو!
مون کي اهڙو خيال پهريون نه هو. ۽ اهو سٺو آهي ته ڪجهه فورم پوسٽن ۽ GitHub ۾
پهريون اهم نقطو ٽيم جي صلاحيت آهي
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
جيڪڏهن توهان پنهنجي حڪم کي جانچڻ چاهيو ٿا، مواد کي $events array جي پهرين عنصر ۾ ڏيکاريندي، $events[0]. ميسيج، آئوٽ پٽ هڪ تمام سادي فارميٽ سان ٽيڪسٽ اسٽرنگ جو هڪ سلسلو ٿي سگهي ٿو: نالو Sysmon فيلڊ، هڪ ڪالون، ۽ پوء قدر پاڻ.
هوري! Sysmon لاگ آئوٽ ڪرڻ JSON-تيار فارميٽ ۾
ڇا تون مون وانگر ئي سوچي رهيو آهين؟ ٿوري گهڻي ڪوشش سان، توهان آئوٽ پٽ کي JSON فارميٽ ٿيل اسٽرنگ ۾ تبديل ڪري سگهو ٿا ۽ پوءِ ان کي طاقتور ڪمانڊ استعمال ڪندي سڌو سنئون پي ايس شئي ۾ لوڊ ڪري سگهو ٿا.
مان تبادلي لاءِ پاور شيل ڪوڊ ڏيکاريندس - اھو بلڪل سادو آھي - ايندڙ حصي ۾. هينئر لاءِ، اچو ته ڏسون ته منهنجو نئون ڪمانڊ get-sysmonlogs، جنهن کي مون پي ايس ماڊل طور انسٽال ڪيو آهي، ڇا ڪري سگهي ٿو.
هڪ اڻ وڻندڙ ايونٽ لاگ انٽرفيس ذريعي سسمون لاگ تجزيي ۾ گهيرو ڪرڻ بدران، اسان آسانيءَ سان پاور شيل سيشن مان وڌندڙ سرگرميءَ جي ڳولا ڪري سگهون ٿا، انهي سان گڏ PS ڪمانڊ استعمال ڪريو.
WMI ذريعي شروع ڪيل سي ايم ڊي شيل جي فهرست. اسان جي پنهنجي Get-Sysmonlogs ٽيم سان سستي تي خطري جو تجزيو
شاندار! مون ھڪڙو اوزار ٺاھيو آھي پولنگ لاءِ سيسمون لاگ کي ڄڻ اھو ھڪڙو ڊيٽابيس ھو. جي باري ۾ اسان جي مضمون ۾
سيممون ۽ گراف جو تجزيو
اچو ته پوئتي قدم رکون ۽ ان بابت سوچيو جيڪو اسان پيدا ڪيو آهي. لازمي طور تي، اسان وٽ ھاڻي ھڪڙو ونڊوز ايونٽ ڊيٽابيس آھي جيڪو PowerShell ذريعي دستياب آھي. جيئن مون اڳ ۾ نوٽ ڪيو آهي، رڪارڊن جي وچ ۾ رابطا يا لاڳاپا آهن - ParentProcessId ذريعي - تنهنڪري عملن جو هڪ مڪمل درجو حاصل ڪري سگهجي ٿو.
جيڪڏهن توهان سيريز پڙهيو آهي
پر منهنجي Get-Sysmonlogs ڪمانڊ ۽ هڪ اضافي ڊيٽا جي جوڙجڪ سان گڏ اسين متن ۾ بعد ۾ ڏسندا سين (هڪ گراف، يقينا)، اسان وٽ خطرن کي ڳولڻ جو هڪ عملي طريقو آهي - جنهن کي صرف صحيح عمودي ڳولا ڪرڻ جي ضرورت آهي.
جيئن هميشه اسان جي DYI بلاگ پروجيڪٽس سان، جيترو توهان ننڍي پيماني تي خطرن جي تفصيلن جو تجزيو ڪرڻ تي وڌيڪ ڪم ڪندا، اوترو وڌيڪ توهان محسوس ڪندا ته انٽرپرائز سطح تي خطري جي ڳولها ڪيتري پيچيده آهي. ۽ هي شعور انتهائي آهي اهم نقطو.
اسان مضمون جي ٻئي حصي ۾ پهرين دلچسپ پيچيدگين سان منهن ڪنداسين، جتي اسان هڪ ٻئي سان سسمون واقعن کي وڌيڪ پيچيده جوڙجڪ ۾ ڳنڍڻ شروع ڪنداسين.
جو ذريعو: www.habr.com