O le fale faigaluega fa'aoga o le pito sili lea ona vaivai o le atina'e i tulaga o le saogalemu o fa'amatalaga. E mafai e tagata fa'aoga ona maua se tusi i a latou imeli galuega e foliga mai e sau mai se puna saogalemu, ae o lo'o iai se feso'ota'iga i se nofoaga ua a'afia. Atonu o le a sii mai e se tasi se aoga aoga mo galuega mai se nofoaga le iloa. Ioe, e mafai ona e sau i le tele o mataupu o le auala e mafai ai e le malware ona faʻaogaina punaoa faʻapisinisi i totonu e ala i tagata faʻaoga. O le mea lea, o fale faigaluega e manaʻomia le faʻalauteleina o le gauai, ma i lenei tusiga o le a matou taʻuina atu ia te oe le mea ma mea e tutupu e mataʻituina ai osofaʻiga.
Ina ia iloa se osofaʻiga i se taimi vave e mafai ai, WIndows e tolu punaʻoa aoga: o le Security Event Log, le System Monitoring Log, ma le Power Shell Logs.
Fa'amaufa'ailoga o mea na tupu
O le nofoaga autu lea e teu ai mo ogalaau saogalemu faiga. E aofia ai mea e tutupu i le saini/ logout o tagata, avanoa i mea faitino, suiga o faiga fa'avae, ma isi gaioiga e feso'ota'i ma le puipuiga. Ioe, pe a faʻatulagaina le faiga faʻavae talafeagai.
Fa'asologa o tagata fa'aoga ma vaega (mea tutupu 4798 ma 4799). I le amataga lava o se osofaʻiga, e masani ona suʻesuʻe e malware i faʻamatalaga faʻaoga faʻapitonuʻu ma vaega faʻapitonuʻu i luga o se fale faigaluega e suʻe faʻamaoniga mo ana fefaʻatauaiga paolo. O nei mea tutupu o le a fesoasoani e iloa ai tulafono leaga aʻo leʻi alu i luma ma, faʻaaogaina faʻamaumauga aoina, faʻasalalau atu i isi faiga.
Fausia o se tala faʻapitonuʻu ma suiga i vaega faʻapitonuʻu (mea tutupu 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 ma 5377). E mafai foi ona amata le osofaʻiga, mo se faʻataʻitaʻiga, e ala i le faʻaopoopoina o se tagata faʻaoga fou i le faʻalapotopotoga faʻapitonuʻu.
Taumafai e ulufale i se tala fa'apitonu'u (mea tutupu 4624). O tagata faʻaaloalogia e ulufale i totonu ma se faʻamatalaga faʻapitoa, ma faʻamaonia se saini i lalo o se tala faʻapitonuʻu e mafai ona faauigaina o le amataga o se osofaʻiga. O le mea na tupu 4624 e aofia ai foʻi faʻaoga i lalo o se faʻamatalaga faʻapitoa, o lea pe a faʻagasolo mea tutupu, e tatau ona e faʻamama ese mea e ese ai le vaega mai le igoa fale faigaluega.
Se taumafaiga e saini i totonu ma le tala fa'apitoa (mea na tupu 4648). E tupu lenei mea pe a faʻagasolo le faagasologa i le "taufetuli pei" mode. E le tatau ona tupu lenei mea i taimi masani o faiga, o lea e tatau ai ona pulea ia mea.
Loka/tatala le fale faigaluega (mea tutupu 4800-4803). O le vaega o mea masalosalo e aofia ai soʻo se gaioiga na tupu i luga o se fale faigaluega loka.
Suiga o le fa'amalama afi (mea tutupu 4944-4958). E manino lava, pe a faʻapipiʻi polokalama fou, e mafai ona suia le faʻatulagaga o le firewall, lea o le a mafua ai ni mea sese. I le tele o tulaga, e leai se manaʻoga e pulea ia suiga, ae e mautinoa e le afaina le iloa e uiga ia i latou.
Feso'ota'i masini Plug'n'play (mea tutupu 6416 ma na'o Windows 10). E taua le mataʻituina o lenei mea pe afai e masani ona le faʻafesoʻotaʻi e tagata faʻaoga ni masini fou i le fale faigaluega, ae faʻafuaseʻi ona latou faia.
O Pupuni e aofia ai le 9 vaega su'etusi ma le 50 vaega laiti mo le fa'aleleia lelei. Le seti pito maualalo o vaega laiti e tatau ona faʻaogaina i totonu o faʻatulagaga:
Logon / Logoff
- Logon;
- Logooff;
- Loka teugatupe;
- Isi Logon/Logoff Events.
Faʻamaumauga o Tupe
- Pulega o Fa'amatalaga Fa'aaogā;
- Pulega Vaega Puipuiga.
Suiga Faiga Faavae
- Suiga Faiga Faavae Suetusi;
- Suiga Faiga Fa'amaonia;
- Suiga Faiga Faavae.
Mata'itū faiga (Sysmon)
Sysmon o se faʻaoga faʻapipiʻi i totonu o Windows e mafai ona faʻamaumau mea na tutupu i le log system. E masani ona e mana'omia ona fa'apipi'i ese.
O nei lava mea e tasi e mafai, i le faʻavae, e maua i totonu o le faʻamaumauga o le puipuiga (e ala i le faʻatagaina o le faʻataʻitaʻiga o suʻega e manaʻomia), ae o loʻo tuʻuina atu e Sysmon nisi faʻamatalaga. O a mea na tutupu e mafai ona maua mai ia Sysmon?
Fa'agasologa o faiga (mea na tupu ID 1). E mafai fo'i ona ta'u atu ia te oe e le log security event le taimi na amata ai le *.exe ma fa'aalia lona igoa ma le ala fa'alauiloa. Ae le pei o Sysmon, o le a le mafai ona faʻaalia le hash talosaga. E mafai fo'i ona ta'ua polokalame leaga e leai se leaga o le notepad.exe, ae o le hash lea e fa'ailoa mai ai.
Feso'ota'iga Feso'ota'iga (Event ID 3). E manino lava, e tele fesoʻotaʻiga fesoʻotaʻiga, ma e le mafai ona siaki uma. Ae e taua le mafaufau o Sysmon, e le pei o le Security Log, e mafai ona fusifusia se fesoʻotaʻiga fesoʻotaʻiga i le ProcessID ma ProcessGUID fanua, ma faʻaalia le taulaga ma tuatusi IP o le punavai ma le taunuuga.
Suiga i le resitara faiga (event ID 12-14). O le auala pito sili ona faigofie e faʻaopoopo ai oe i le autorun o le lesitala i le resitala. Security Log e mafai ona faia lenei mea, ae o Sysmon o loʻo faʻaalia le na faia suiga, o afea, mai fea, faʻagasolo ID ma le taua muamua.
Faiga faila (mea tutupu ID 11). Sysmon, e le pei o le Security Log, o le a faʻaalia e le gata i le nofoaga o le faila, ae faʻapea foi lona igoa. E manino lava e le mafai ona e siakiina mea uma, ae e mafai ona e suʻeina faʻamaumauga patino.
Ma o le a le mea e le o iai i totonu o le Security Log policy, ae o loʻo i totonu o Sysmon:
Suia le taimi e fai ai faila (Event ID 2). O nisi mea leaga e mafai ona fa'asesēina le aso na fai ai se faila e nana ai mai lipoti o faila fou na faia.
La'uina o aveta'avale ma faletusi fa'amalosi (event IDs 6-7). Mataituina le utaina o DLLs ma masini avetaavale i le mafaufau, siaki le saini numera ma lona aoga.
Fausia se filo i se faiga fa'agasolo (event ID 8). Tasi ituaiga osofaʻiga e manaʻomia foʻi ona mataʻituina.
RawAccessRead Mea na Tutupu (Event ID 9). Fa'agaioiga faitau tisiki e fa'aaoga ai le ".". I le tele o tulaga, o ia gaioiga e tatau ona manatu e le masani ai.
Fausia se faila faila igoa (event ID 15). E fa'amauina se mea na tupu pe a fa'atūina se faila faila e fa'aosoina mea fa'atasi ma se hash o mea o lo'o i totonu o le faila.
Fausia o se paipa fa'aigoa ma feso'ota'iga (event ID 17-18). Su'esu'eina tulafono leaga e feso'ota'i ma isi vaega e ala i le paipa ua ta'ua.
Gaoioiga WMI (mea tutupu ID 19). Le resitalaina o mea na tutupu pe a faʻaogaina le polokalama e ala i le WMI protocol.
Ina ia puipuia Sysmon lava ia, e tatau ona e mataʻituina mea na tutupu i le ID 4 (Sysmon taofi ma amata) ma le ID 16 (Sysmon faʻatulagaina suiga).
Ogalaau Agi Malosi
O le Power Shell o se meafaigaluega mamana mo le puleaina o atinaʻe a Windows, o lea e maualuga ai le avanoa e filifili ai e se tagata osofaʻi. E lua fa'apogai e mafai ona e fa'aogaina e maua mai ai fa'amaumauga o mea na tutupu i le Power Shell: Windows PowerShell log ma Microsoft-WindowsPowerShell/Operational log.
Windows PowerShell log
Tuuina atu fa'amatalaga (ID 600). PowerShell providers o polokalame ia e maua ai se puna o faʻamatalaga mo le PowerShell e matamata ma pulea. Mo se faʻataʻitaʻiga, e mafai ona faʻapipiʻiina mea e tuʻuina atu i totonu ole Windows environment variables poʻo le system registry. O le tula'i mai o kamupani fou e tatau ona mata'ituina ina ia iloa ai gaioiga leaga ile taimi. Mo se faʻataʻitaʻiga, afai e te vaʻai i le WSMan o loʻo faʻaalia i totonu o le auʻaunaga, ona amata loa lea o le PowerShell mamao mamao.
Microsoft-WindowsPowerShell / Operational log (poʻo MicrosoftWindows-PowerShellCore / Operational i PowerShell 6)
Fa'amauina o le module (mea tutupu ID 4103). O mea e tutupu e teu ai fa'amatalaga e uiga i fa'atonuga ta'itasi ma ta'otoga na vala'au ai.
Fa'amaumauga poloka poloka (mea tutupu ID 4104). Fa'ailoga poloka poloka o lo'o fa'aalia poloka uma o le PowerShell code na fa'atinoina. E tusa lava pe taumafai se tagata osofaʻi e nana le faʻatonuga, o lenei ituaiga mea e faʻaalia ai le PowerShell poloaiga na faia moni lava. E mafai fo'i e lenei ituaiga mea na tupu ona fa'amauina nisi vala'au API maualalo, o nei mea e masani ona fa'amauina e pei o Verbose, ae afai e fa'aogaina se fa'atonuga po'o se fa'amatalaga masalomia i totonu o se poloka code, o le a fa'amauina o se Lapataiga faigata.
Faamolemole ia matau a maeʻa ona faʻapipiʻi le meafaigaluega e aoina ma auʻiliʻili nei mea tutupu, o le a manaʻomia le taimi faʻapipiʻi faʻaopoopo e faʻaitiitia ai le numera o mea sese.
Ta'u mai ia i matou i fa'amatalaga po'o a ogalaau e te aoina mo su'ega fa'amatalaga mo le puipuiga ma po'o a mea faigaluega e te fa'aogaina mo lenei mea. O se tasi o matou vaega o lo'o taula'i i ai fofo mo le su'eina o fa'amatalaga fa'amatalaga fa'alavelave. Ina ia foia le faafitauli o le aoina ma le auʻiliʻili o ogalaau, e mafai ona matou fautua atu e vaʻai totoʻa i , lea e mafai ona faʻapipiʻi faʻamaumauga o loʻo teuina i se fua faatatau o le 20: 1, ma le tasi faʻapipiʻi faʻataʻitaʻiga e mafai ona faʻagasolo atu i le 60000 mea tutupu i le sekone mai le 10000 punaoa.
puna: www.habr.com