Uporabniška delovna postaja je z vidika informacijske varnosti najbolj ranljiva točka infrastrukture. Uporabniki lahko na svojo službeno e-pošto prejmejo pismo, ki je videti kot iz varnega vira, vendar s povezavo do okuženega mesta. Morda bo kdo prenesel pripomoček, uporaben za delo, z neznane lokacije. Da, lahko najdete na desetine primerov, kako lahko zlonamerna programska oprema prodre v notranje vire podjetja prek uporabnikov. Zato delovne postaje zahtevajo večjo pozornost in v tem članku vam bomo povedali, kje in katere dogodke je treba sprejeti za spremljanje napadov.
Za odkrivanje napada v najzgodnejši možni fazi ima WIndows tri uporabne vire dogodkov: dnevnik varnostnih dogodkov, dnevnik nadzora sistema in dnevnike Power Shell.
Dnevnik varnostnih dogodkov
To je glavna lokacija za shranjevanje varnostnih dnevnikov sistema. To vključuje dogodke prijave/odjave uporabnika, dostop do objektov, spremembe pravilnika in druge dejavnosti, povezane z varnostjo. Seveda, če je konfiguriran ustrezen pravilnik.
Seštevanje uporabnikov in skupin (dogodka 4798 in 4799). Na samem začetku napada zlonamerna programska oprema pogosto išče po lokalnih uporabniških računih in lokalnih skupinah na delovni postaji, da bi našla poverilnice za svoje sumljive posle. Ti dogodki bodo pomagali odkriti zlonamerno kodo, preden se premakne naprej in se z uporabo zbranih podatkov razširi na druge sisteme.
Ustvarjanje lokalnega računa in spremembe v lokalnih skupinah (dogodki 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 in 5377). Napad se lahko začne tudi z dodajanjem novega uporabnika v skupino lokalnih skrbnikov.
Poskusi prijave z lokalnim računom (dogodek 4624). Ugledni uporabniki se prijavijo z domenskim računom in prepoznavanje prijave pod lokalnim računom lahko pomeni začetek napada. Dogodek 4624 vključuje tudi prijave pod račun domene, zato morate pri obdelavi dogodkov filtrirati dogodke, pri katerih se domena razlikuje od imena delovne postaje.
Poskus prijave z navedenim računom (dogodek 4648). To se zgodi, ko se proces izvaja v načinu »zaženi kot«. Pri normalnem delovanju sistemov se to ne bi smelo zgoditi, zato je treba takšne dogodke nadzorovati.
Zaklepanje/odklepanje delovne postaje (dogodki 4800-4803). Kategorija sumljivih dogodkov vključuje vsa dejanja, ki so se zgodila na zaklenjeni delovni postaji.
Spremembe konfiguracije požarnega zidu (dogodki 4944-4958). Očitno se lahko pri namestitvi nove programske opreme konfiguracijske nastavitve požarnega zidu spremenijo, kar bo povzročilo lažne pozitivne rezultate. V večini primerov takšnih sprememb ni treba nadzorovati, vsekakor pa ne bo škodilo, če jih poznate.
Povezovanje naprav Plug'n'play (dogodek 6416 in samo za WIndows 10). Pomembno je, da ste na to pozorni, če uporabniki običajno ne povežejo novih naprav z delovno postajo, potem pa to nenadoma storijo.
Windows vključuje 9 revizijskih kategorij in 50 podkategorij za natančno nastavitev. Najmanjši nabor podkategorij, ki naj bodo omogočene v nastavitvah:
Logon / Logoff
- Prijavi se;
- Odjava;
- Zaklepanje računa;
- Drugi dogodki prijave/odjave.
Account Management
- Upravljanje uporabniškega računa;
- Upravljanje varnostne skupine.
Sprememba politike
- Sprememba revizijske politike;
- Sprememba politike avtentikacije;
- Sprememba pravilnika o avtorizaciji.
Sistemski nadzornik (Sysmon)
Sysmon je pripomoček, vgrajen v sistem Windows, ki lahko beleži dogodke v sistemski dnevnik. Običajno ga morate namestiti ločeno.
Te iste dogodke je načeloma mogoče najti v varnostnem dnevniku (če omogočite želeno revizijsko politiko), vendar Sysmon ponuja več podrobnosti. Katere dogodke lahko vzamete iz Sysmona?
Ustvarjanje procesa (ID dogodka 1). Dnevnik sistemskih varnostnih dogodkov vam lahko pove tudi, kdaj se je *.exe zagnal, in celo prikaže njegovo ime in pot zagona. Toda za razliko od Sysmona ne bo mogel prikazati zgoščene vrednosti aplikacije. Zlonamerno programsko opremo lahko celo imenujemo neškodljiva notepad.exe, vendar jo bo razkrila zgoščena vrednost.
Omrežne povezave (ID dogodka 3). Očitno je veliko omrežnih povezav in vsem je nemogoče slediti. Vendar je pomembno upoštevati, da lahko Sysmon, za razliko od varnostnega dnevnika, poveže omrežno povezavo s polji ProcessID in ProcessGUID ter prikaže vrata in naslove IP vira in cilja.
Spremembe v sistemskem registru (ID dogodka 12-14). Najlažji način, da se dodate v samodejni zagon, je registracija v registru. Varnostni dnevnik lahko to stori, vendar Sysmon pokaže, kdo je naredil spremembe, kdaj, od kod, ID procesa in prejšnjo vrednost ključa.
Ustvarjanje datoteke (ID dogodka 11). Sysmon, za razliko od varnostnega dnevnika, ne bo prikazal samo lokacije datoteke, ampak tudi njeno ime. Jasno je, da ne morete slediti vsemu, lahko pa revidirate določene imenike.
In zdaj, kar ni v pravilnikih varnostnega dnevnika, je pa v Sysmonu:
Sprememba časa ustvarjanja datoteke (ID dogodka 2). Nekatera zlonamerna programska oprema lahko ponaredi datum nastanka datoteke, da jo skrije pred poročili o nedavno ustvarjenih datotekah.
Nalaganje gonilnikov in dinamičnih knjižnic (ID-ji dogodkov 6-7). Spremljanje nalaganja DLL-jev in gonilnikov naprav v pomnilnik, preverjanje digitalnega podpisa in njegove veljavnosti.
Ustvarite nit v delujočem procesu (ID dogodka 8). Ena vrsta napada, ki jo je prav tako treba spremljati.
Dogodki RawAccessRead (ID dogodka 9). Operacije branja diska z uporabo ».«. V veliki večini primerov je treba takšno dejavnost obravnavati kot nenormalno.
Ustvarite tok imenovane datoteke (ID dogodka 15). Dogodek se zabeleži, ko je ustvarjen tok imenovane datoteke, ki oddaja dogodke z zgoščeno vrednostjo vsebine datoteke.
Ustvarjanje imenovane cevi in povezave (ID dogodka 17-18). Sledenje zlonamerni kodi, ki komunicira z drugimi komponentami prek imenovane cevi.
Aktivnost WMI (ID dogodka 19). Registracija dogodkov, ki se generirajo pri dostopu do sistema preko WMI protokola.
Za zaščito samega Sysmona morate spremljati dogodke z ID-jem 4 (zaustavitev in zagon Sysmona) in ID-jem 16 (spremembe konfiguracije Sysmona).
Dnevniki Power Shell
Power Shell je močno orodje za upravljanje infrastrukture Windows, zato je velika verjetnost, da se bo napadalec odločil zanj. Obstajata dva vira, ki ju lahko uporabite za pridobivanje podatkov o dogodkih Power Shell: dnevnik Windows PowerShell in dnevnik Microsoft-WindowsPowerShell/Operational.
Dnevnik lupine Windows PowerShell
Ponudnik podatkov naložen (ID dogodka 600). Ponudniki lupine PowerShell so programi, ki zagotavljajo vir podatkov za ogled in upravljanje lupine PowerShell. Vgrajeni ponudniki so lahko na primer spremenljivke okolja Windows ali sistemski register. Pojav novih dobaviteljev je treba spremljati, da bi pravočasno odkrili zlonamerno dejavnost. Če na primer med ponudniki vidite WSMan, se je začela oddaljena seja PowerShell.
Microsoft-WindowsPowerShell / operativni dnevnik (ali MicrosoftWindows-PowerShellCore / operativni v PowerShell 6)
Beleženje modula (ID dogodka 4103). Dogodki hranijo informacije o vsakem izvršenem ukazu in parametrih, s katerimi je bil poklican.
Beleženje blokiranja skripta (ID dogodka 4104). Beleženje blokiranja skriptov prikazuje vsak blok izvedene kode PowerShell. Tudi če napadalec poskuša skriti ukaz, bo ta vrsta dogodka prikazala ukaz PowerShell, ki je bil dejansko izveden. Ta vrsta dogodka lahko beleži tudi nekatere nizkonivojske klice API-ja, ti dogodki so običajno zabeleženi kot Verbose, če pa je v bloku kode uporabljen sumljiv ukaz ali skript, bo zabeležen kot resnost opozorila.
Ko je orodje konfigurirano za zbiranje in analizo teh dogodkov, bo potreben dodaten čas za odpravljanje napak, da se zmanjša število lažno pozitivnih rezultatov.
V komentarjih nam povejte, katere dnevnike zbirate za revizije varnosti informacij in katera orodja za to uporabljate. Eno od naših področij osredotočanja so rešitve za revidiranje dogodkov v zvezi z informacijsko varnostjo. Da bi rešili problem zbiranja in analiziranja dnevnikov, lahko predlagamo, da si podrobneje ogledate , ki lahko stisne shranjene podatke v razmerju 20:1, ena njegova nameščena instanca pa je sposobna obdelati do 60000 dogodkov na sekundo iz 10000 virov.
Vir: www.habr.com