වින්ඩෝස් පාදක වර්ක් ස්ටේෂන් එකක ලොග් වලින් ලබාගත හැකි ප්‍රයෝජනවත් දේවල් මොනවාද?

තොරතුරු ආරක්ෂාව සම්බන්ධයෙන් යටිතල ව්‍යුහයේ වඩාත්ම අවදානමට ලක්විය හැකි ස්ථානය වන්නේ පරිශීලක සේවා ස්ථානයයි. පරිශීලකයින්ට ආරක්ෂිත මූලාශ්‍රයකින් පෙනෙන නමුත් ආසාදිත අඩවියකට සබැඳියක් සහිත ලිපියක් ඔවුන්ගේ කාර්යාල ඊමේල් වෙත ලැබිය හැක. සමහර විට යමෙක් නොදන්නා ස්ථානයක සිට වැඩ සඳහා ප්රයෝජනවත් උපයෝගීතාවයක් බාගත කරනු ඇත. ඔව්, ඔබට අනිෂ්ට මෘදුකාංග භාවිතා කරන්නන් හරහා අභ්‍යන්තර ආයතනික සම්පත් ආක්‍රමණය කළ හැකි ආකාරය පිළිබඳ අවස්ථා දුසිම් ගණනක් ඉදිරිපත් කළ හැකිය. එබැවින්, වැඩපොළවල් සඳහා වැඩි අවධානයක් අවශ්ය වන අතර, මෙම ලිපියෙන් අපි ප්රහාර නිරීක්ෂණය කිරීම සඳහා ගත යුතු ස්ථානය සහ කුමන සිදුවීම් ඔබට පවසනු ඇත.

හැකි ඉක්මනින් ප්‍රහාරයක් හඳුනා ගැනීමට, WIndows හට ප්‍රයෝජනවත් සිදුවීම් මූලාශ්‍ර තුනක් ඇත: ආරක්ෂක සිදුවීම් ලොගය, පද්ධති අධීක්ෂණ ලොගය සහ බල ෂෙල් ලොග්.

ආරක්ෂක සිදුවීම් ලොගය

පද්ධති ආරක්ෂණ ලොග් සඳහා ප්‍රධාන ගබඩා ස්ථානය මෙයයි. මෙයට පරිශීලක පුරනය වීමේ/පිටවීම, වස්තු වෙත ප්‍රවේශය, ප්‍රතිපත්ති වෙනස්කම් සහ වෙනත් ආරක්ෂාවට අදාළ ක්‍රියාකාරකම් ඇතුළත් වේ. ඇත්ත වශයෙන්ම, සුදුසු ප්‍රතිපත්තිය වින්‍යාස කර ඇත්නම්.

පරිශීලකයින් සහ කණ්ඩායම් ගණනය කිරීම (සිදුවීම් 4798 සහ 4799). ප්‍රහාරයක ආරම්භයේදීම, අනිෂ්ට මෘදුකාංග බොහෝ විට එහි අඳුරු ගනුදෙනු සඳහා අක්තපත්‍ර සෙවීම සඳහා වැඩපොළක දේශීය පරිශීලක ගිණුම් සහ ප්‍රාදේශීය කණ්ඩායම් හරහා සොයයි. මෙම සිදුවීම් ද්වේශසහගත කේතය ඉදිරියට යාමට පෙර සහ එකතු කරන ලද දත්ත භාවිතයෙන් වෙනත් පද්ධති වෙත පැතිරීමට පෙර හඳුනා ගැනීමට උපකාරී වනු ඇත.

දේශීය ගිණුමක් නිර්මාණය කිරීම සහ දේශීය කණ්ඩායම්වල වෙනස්කම් (සිදුවීම් 4720, 4722-4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 සහ 5377). උදාහරණයක් ලෙස, ප්‍රාදේශීය පරිපාලක කණ්ඩායමට නව පරිශීලකයෙකු එක් කිරීමෙන් ප්‍රහාරය ආරම්භ විය හැක.

ප්‍රාදේශීය ගිණුමක් සමඟින් පුරනය වීමේ උත්සාහයන් (සිදුවීම 4624). ගෞරවනීය පරිශීලකයින් වසම් ගිණුමක් සමඟින් ලොග් වන අතර, ප්‍රාදේශීය ගිණුමක් යටතේ පුරනය වීමක් හඳුනා ගැනීම ප්‍රහාරයක ආරම්භය අදහස් කළ හැක. Event 4624 වසම් ගිණුමක් යටතේ පිවිසුම් ඇතුළත් වේ, එබැවින් සිදුවීම් සැකසීමේදී, ඔබ වසම වැඩපොළ නාමයෙන් වෙනස් වන සිදුවීම් පෙරීමට අවශ්ය වේ.

නිශ්චිත ගිණුම සමඟ ලොග් වීමට උත්සාහයක් (සිදුවීම 4648). මෙම ක්රියාවලිය "පවත්වන්න" ආකාරයෙන් ක්රියාත්මක වන විට මෙය සිදු වේ. පද්ධතිවල සාමාන්‍ය ක්‍රියාකාරිත්වය අතරතුර මෙය සිදු නොවිය යුතුය, එබැවින් එවැනි සිදුවීම් පාලනය කළ යුතුය.

වැඩපොළ අගුලු දැමීම/අගුළු හැරීම (සිදුවීම් 4800-4803). සැක සහිත සිදුවීම් කාණ්ඩයට අගුලු දැමූ වැඩපොළක සිදු වූ ඕනෑම ක්‍රියාවක් ඇතුළත් වේ.

ෆයර්වෝල් මානකරන වෙනස්කම් (සිදුවීම් 4944-4958). නිසැකවම, නව මෘදුකාංග ස්ථාපනය කරන විට, ෆයර්වෝල් වින්‍යාස සැකසුම් වෙනස් විය හැක, එය ව්‍යාජ ධනාත්මක වීමට හේතු වේ. බොහෝ අවස්ථාවන්හීදී, එවැනි වෙනස්කම් පාලනය කිරීමට අවශ්ය නැත, නමුත් ඒවා ගැන දැන ගැනීමට අනිවාර්යයෙන්ම හානියක් නොවනු ඇත.

Plug'n'play උපාංග සම්බන්ධ කිරීම (සිද්ධිය 6416 සහ WIndows 10 සඳහා පමණි). පරිශීලකයින් සාමාන්‍යයෙන් නව උපාංග වැඩපොළට සම්බන්ධ නොකරන්නේ නම්, නමුත් හදිසියේම ඔවුන් එසේ කරන්නේ නම් මේ පිළිබඳව අවධානයෙන් සිටීම වැදගත්ය.

වින්ඩෝස් විගණන කාණ්ඩ 9 ක් සහ සියුම් සුසර කිරීම සඳහා උප කාණ්ඩ 50 ක් ඇතුළත් වේ. සැකසීම් තුළ සබල කළ යුතු අවම උපප්‍රවර්ග කට්ටලය:

Logon/Logoff

• ලොගින්;
• ඉවත් වන්න;
• ගිණුම් අගුලු දැමීම;
• වෙනත් Logon/Logoff සිදුවීම්.

ගිණුම් කළමනාකරණය

• පරිශීලක ගිණුම් කළමනාකරණය;
• ආරක්ෂක කණ්ඩායම් කළමනාකරණය.

ප්රතිපත්ති වෙනස් කිරීම

• විගණන ප්‍රතිපත්ති වෙනස් කිරීම;
• සත්‍යාපන ප්‍රතිපත්ති වෙනස් කිරීම;
• අවසර ප්‍රතිපත්ති වෙනස් කිරීම.

පද්ධති මොනිටරය (Sysmon)

Sysmon යනු පද්ධති ලොගයේ සිදුවීම් වාර්තා කළ හැකි වින්ඩෝස් තුළ ගොඩනගා ඇති උපයෝගීතාවයකි. සාමාන්යයෙන් ඔබ එය වෙනම ස්ථාපනය කළ යුතුය.

මෙම සිදුවීම් ප්‍රතිපත්තිමය වශයෙන්, ආරක්‍ෂක ලොගයේ (අවශ්‍ය විගණන ප්‍රතිපත්තිය සක්‍රීය කිරීමෙන්) සොයා ගත හැක, නමුත් Sysmon වැඩි විස්තර සපයයි. Sysmon වෙතින් ගත හැකි සිදුවීම් මොනවාද?

ක්‍රියාවලි නිර්මාණය (සිදුවීම් ID 1). පද්ධති ආරක්ෂණ සිදුවීම් ලොගය ඔබට *.exe ආරම්භ වූ විට සහ එහි නම සහ දියත් කිරීමේ මාර්ගය පවා පෙන්විය හැක. නමුත් Sysmon මෙන් නොව, එය යෙදුම් හැෂ් පෙන්වීමට නොහැකි වනු ඇත. අනිෂ්ට මෘදුකාංග හානිකර notepad.exe ලෙස පවා හැඳින්විය හැක, නමුත් එය ආලෝකයට ගෙන එන්නේ හැෂ් ය.

ජාල සම්බන්ධතා (සිදුවීම් ID 3). නිසැකවම, ජාල සම්බන්ධතා රාශියක් ඇති අතර, ඒවා සියල්ලම නිරීක්ෂණය කිරීමට නොහැකි ය. නමුත් Sysmon, Security Log මෙන් නොව, ProcessID සහ ProcessGUID ක්ෂේත්‍ර වෙත ජාල සම්බන්ධතාවයක් බැඳිය හැකි බව සැලකිල්ලට ගැනීම වැදගත් වන අතර, මූලාශ්‍රයේ සහ ගමනාන්තයේ වරාය සහ IP ලිපින පෙන්වයි.

පද්ධති රෙජිස්ට්රි වෙනස්කම් (සිදුවීම් ID 12-14). ස්වයංක්‍රීය ධාවනයට ඔබව එකතු කර ගැනීමට ඇති පහසුම ක්‍රමය නම් රෙජිස්ට්‍රියේ ලියාපදිංචි වීමයි. ආරක්ෂක ලොගයට මෙය කළ හැක, නමුත් Sysmon වෙනස්කම් කළේ කවුරුන්ද, කවදාද, කොතැනින්ද, ක්‍රියාවලි ID සහ පෙර ප්‍රධාන අගය පෙන්වයි.

ගොනු නිර්මාණය (සිදුවීම් ID 11). Sysmon, ආරක්ෂක ලොගය මෙන් නොව, ගොනුවේ පිහිටීම පමණක් නොව එහි නම ද පෙන්වයි. ඔබට සෑම දෙයක්ම නිරීක්ෂණය කළ නොහැකි බව පැහැදිලිය, නමුත් ඔබට ඇතැම් නාමාවලි විගණනය කළ හැකිය.

දැන් ආරක්‍ෂක ලොග් ප්‍රතිපත්තිවල නැති, නමුත් Sysmon හි ඇති දේ:

ගොනු සෑදීමේ කාලය වෙනස් කිරීම (සිදුවීම් ID 2). සමහර අනිෂ්ට මෘදුකාංග විසින් මෑතකදී සාදන ලද ගොනු වල වාර්තා වලින් එය සැඟවීමට ගොනුවක් සාදන දිනය වංචා කළ හැක.

ධාවක සහ ගතික පුස්තකාල පූරණය කිරීම (සිදුවීම් හැඳුනුම්පත් 6-7). DLLs සහ උපාංග ධාවක මතකයට පැටවීම අධීක්ෂණය කිරීම, ඩිජිටල් අත්සන සහ එහි වලංගුභාවය පරීක්ෂා කිරීම.

ධාවන ක්‍රියාවලියක නූල් සාදන්න (සිදුවීම් ID 8). එක් ආකාරයක ප්රහාරයක් ද නිරීක්ෂණය කළ යුතුය.

RawAccessRead සිදුවීම් (සිදුවීම් ID 9). "" භාවිතයෙන් තැටි කියවීමේ මෙහෙයුම්. අති විශාල බහුතර අවස්ථාවන්හිදී, එවැනි ක්රියාකාරිත්වය අසාමාන්ය ලෙස සැලකිය යුතුය.

නම් කරන ලද ගොනු ප්‍රවාහයක් සාදන්න (සිදුවීම් ID 15). ගොනුවේ අන්තර්ගතයේ හැෂ් එකක් සමඟ සිදුවීම් නිකුත් කරන නම් කරන ලද ගොනු ප්‍රවාහයක් නිර්මාණය කළ විට සිදුවීමක් ලොග් වේ.

නම් කරන ලද නලයක් සහ සම්බන්ධතාවයක් නිර්මාණය කිරීම (සිදුවීම් ID 17-18). නම් කරන ලද නළය හරහා අනෙකුත් සංරචක සමඟ සන්නිවේදනය කරන අනිෂ්ට කේතය ලුහුබැඳීම.

WMI ක්‍රියාකාරකම් (සිදුවීම් ID 19). WMI ප්රොටෝකෝලය හරහා පද්ධතියට පිවිසීමේදී ජනනය වන සිදුවීම් ලියාපදිංචි කිරීම.

Sysmon ආරක්ෂා කිරීම සඳහා, ඔබ ID 4 (Sysmon නැවැත්වීම සහ ආරම්භ කිරීම) සහ ID 16 (Sysmon වින්‍යාස වෙනස් කිරීම්) සමඟ සිදුවීම් නිරීක්ෂණය කළ යුතුය.

බල ෂෙල් ලොග්

පවර් ෂෙල් යනු වින්ඩෝස් යටිතල පහසුකම් කළමනාකරණය සඳහා ප්‍රබල මෙවලමකි, එබැවින් ප්‍රහාරකයෙකු එය තෝරා ගැනීමට ඇති ඉඩකඩ වැඩිය. Power Shell සිදුවීම් දත්ත ලබා ගැනීමට ඔබට භාවිතා කළ හැකි මූලාශ්‍ර දෙකක් තිබේ: Windows PowerShell ලොගය සහ Microsoft-WindowsPowerShell/Operational ලොගය.

Windows PowerShell ලොගය

දත්ත සපයන්නා පටවා ඇත (සිදුවීම් ID 600). PowerShell සපයන්නන් යනු PowerShell වෙත බැලීමට සහ කළමනාකරණය කිරීමට දත්ත මූලාශ්‍රයක් සපයන වැඩසටහන් වේ. උදාහරණයක් ලෙස, බිල්ට් සපයන්නන් වින්ඩෝස් පරිසර විචල්‍යයන් හෝ පද්ධති රෙජිස්ට්‍රිය විය හැකිය. නියමිත වේලාවට අනිෂ්ට ක්‍රියාකාරකම් හඳුනා ගැනීම සඳහා නව සැපයුම්කරුවන්ගේ මතුවීම නිරීක්ෂණය කළ යුතුය. උදාහරණයක් ලෙස, WSMan සපයන්නන් අතර පෙනී සිටිනු ඔබ දුටුවහොත්, දුරස්ථ PowerShell සැසියක් ආරම්භ කර ඇත.

Microsoft-WindowsPowerShell / Operational log (හෝ MicrosoftWindows-PowerShellCore / PowerShell 6 හි මෙහෙයුම්)

මොඩියුල ලොග් කිරීම (සිදුවීම් ID 4103). සිදුවීම් එක් එක් ක්‍රියාත්මක කරන ලද විධානයන් සහ එය හැඳින්වූ පරාමිතීන් පිළිබඳ තොරතුරු ගබඩා කරයි.

ස්ක්‍රිප්ට් අවහිර ලොග් වීම (සිදුවීම් ID 4104). ස්ක්‍රිප්ට් අවහිර කිරීම් ලොග් වීම ක්‍රියාත්මක වූ පවර්ෂෙල් කේතයේ සෑම බ්ලොක් එකක්ම පෙන්වයි. ප්‍රහාරකයෙකු විධානය සැඟවීමට උත්සාහ කළත්, මෙම සිදුවීම් වර්ගය ඇත්ත වශයෙන්ම ක්‍රියාත්මක කළ PowerShell විධානය පෙන්වයි. මෙම සිදුවීම් වර්ගයට සිදු කෙරෙන සමහර පහත් මට්ටමේ API ඇමතුම් ද ලොග් විය හැක, මෙම සිදුවීම් සාමාන්‍යයෙන් Verbose ලෙස සටහන් වේ, නමුත් කේත කොටසක සැක සහිත විධානයක් හෝ ස්ක්‍රිප්ට් භාවිතා කරන්නේ නම්, එය අනතුරු ඇඟවීමේ බරපතලකමක් ලෙස ලොග් වනු ඇත.

මෙම සිදුවීම් එකතු කිරීමට සහ විශ්ලේෂණය කිරීමට මෙවලම වින්‍යාස කළ පසු, ව්‍යාජ ධනාත්මක සංඛ්‍යාව අඩු කිරීමට අමතර නිදොස් කිරීමේ කාලයක් අවශ්‍ය වන බව කරුණාවෙන් සලකන්න.

තොරතුරු ආරක්ෂණ විගණන සඳහා ඔබ රැස් කරන ලොග් මොනවාද සහ මේ සඳහා ඔබ භාවිතා කරන මෙවලම් මොනවාදැයි අදහස් දැක්වීමේදී අපට කියන්න. අපගේ අවධානය යොමු කරන එක් අංශයක් වන්නේ තොරතුරු ආරක්ෂණ සිදුවීම් විගණනය සඳහා විසඳුම් ය. ලඝු-සටහන් එකතු කිරීම සහ විශ්ලේෂණය කිරීමේ ගැටළුව විසඳීම සඳහා, අපට සමීපව බැලීමට යෝජනා කළ හැකිය Quest InTrust, ගබඩා කළ දත්ත 20:1 අනුපාතයකින් සම්පීඩනය කළ හැකි අතර, එහි එක් ස්ථාපිත අවස්ථාවක් මූලාශ්‍ර 60000කින් තත්පරයකට සිදුවීම් 10000ක් දක්වා සැකසීමේ හැකියාව ඇත.

මූලාශ්රය: www.habr.com