Ole tala lea ole vaega muamua ole fa'asologa ile su'esu'ega taufa'amata'u a Sysmon. O isi vaega uma o le faasologa:
Vaega 1: Folasaga ile Sysmon Log Analysis (ua matou iinei)
Vaega 2: Faʻaaogaina o Faʻamatalaga Faʻamatalaga Sysmon e Faʻailoa ai Faʻamataʻu
Vaega 3. Iloiloga loloto o faʻamataʻu a Sysmon e faʻaaoga ai kalafi
Afai e te galue i le saogalemu o faʻamatalaga, atonu e masani ona e malamalama i osofaʻiga faifai pea. Afai ua uma ona i ai sau mata ua a'oa'oina, e mafai ona e su'e se gaioiga e le masani ai i totonu o ogalaau "mata" e le'i fa'aogaina - fai mai, o le PowerShell script o lo'o fa'agasolo. po'o se tusitusiga VBS e fa'afoliga o se faila Word - na'o le ta'avale i le gaioiga aupito lata mai i le fa'amaumauga o mea tutupu a Windows. Ae ose tiga tiga tele lea. O le mea e laki ai, na faia e Microsoft le Sysmon, lea e sili atu ona faigofie le suʻesuʻeina o osofaʻiga.
E te manaʻo e malamalama i manatu autu i tua atu o faʻamataʻu o loʻo faʻaalia i le log Sysmon? La'u mai la matou ta'iala ma e te iloa le auala e mafai ai e tagata totonu ona mataʻituina ma le faalilolilo isi tagata faigaluega. O le faʻafitauli autu i le galue ma le Windows event log o le leai o se faʻamatalaga e uiga i faʻagasologa matua, i.e. e le mafai ona malamalama i le fa'asologa o faiga mai ai. Sysmon log entry, i le isi itu, o loʻo i ai le ID o matua, lona igoa, ma le laina o le poloaiga e faʻalauiloa. Faafetai, Microsoft.
I le vaega muamua o la matou faasologa, matou te vaʻavaʻai i mea e mafai ona e faia i faʻamatalaga autu mai Sysmon. I le Vaega XNUMX, o le a matou fa'aogaina atoatoa fa'amatalaga fa'agaioiga a matua e fa'atupu ai le fa'atupuina o fa'atonuga fa'apitoa e ta'ua o kalafi fa'amata'u. I le vaega lona tolu, o le a tatou vaʻavaʻai i se algorithm faigofie e suʻeina se kalafi taufaʻatau e suʻe ai gaioiga e le masani ai e ala i le suʻeina o le "mamafa" o le kalafi. Ma i le faaiuga, o le a tauia oe i se auala mama (ma malamalama) e ono iloa ai le taufaamatau.
Vaega 1: Folasaga ile Sysmon Log Analysis
O le a se mea e mafai ona fesoasoani ia te oe e malamalama ai i le lavelave o le tala o mea na tutupu? Mulimuli ane - SIEM. E masani ai mea tutupu ma faʻafaigofie a latou suʻesuʻega mulimuli ane. Ae tatou te le tau alu i lena mamao, a itiiti mai e le o le taimi muamua. I le amataga, ina ia malamalama i mataupu faavae o le SIEM, o le a lava le faʻataʻitaʻiina o le aoga faʻapitoa a Sysmon. Ma e ofo faigofie ona galulue faatasi. Fa'aauau pea, Microsoft!
O a mea e iai Sysmon?
I se faapuupuuga - faʻamatalaga aoga ma mafai ona faitau e uiga i faʻagasologa (vaʻai ata i lalo). O le ae mauaina le tele o faʻamatalaga aoga e le o iai i le Windows Event Log, ae o le mea sili ona taua o vaega nei:
- Fa'asologa ID (i le tesimale, ae le o le hex!)
- ID faiga matua
- Fa'atonuga laina
- Poloaiga laina ole faagasologa matua
- Hash ata faila
- Igoa ata faila
Sysmon ua faʻapipiʻi uma e avea ma avetaʻavale masini ma o se auaunaga - faʻamatalaga atili O lona fa'amanuiaga autu o le mafai lea ona au'ili'ili ogalaau mai tele puna'oa, fa'amaopoopoina o fa'amatalaga ma fa'aulufalega o mea taua e maua i se tasi o fa'amaumauga fa'amaumauga o lo'o i luga o le ala Microsoft -> Pupuni -> Sysmon -> Faʻatinoga. I aʻu lava suʻesuʻega faʻatupuina lauulu i ogalaau a Windows, na ou iloa ai o aʻu lava e tatau ona fesuiaʻi i le va, fai mai, le PowerShell logs folder ma le Security folder, faʻafeiloaʻi i totonu o faʻamaumauga o mea na tutupu i se taumafaiga totoa e faʻafetaui tulaga taua i le va o le lua. . E le o se galuega faigofie lenei, ma e pei ona ou iloaina mulimuli ane, e sili atu le vave teuina o aspirin.
O le Sysmon e faʻateleina le oso i luma e ala i le tuʻuina atu o faʻamatalaga aoga (poʻo pei o tagata faʻatau, faʻatino) faʻamatalaga e fesoasoani e malamalama ai i faiga faʻavae. Mo se faʻataʻitaʻiga, na ou amataina se sauniga faalilolilo , faʻataʻitaʻiina le gaioiga a se tagata atamai i totonu o le fesoʻotaʻiga. O le mea lea o le a e vaʻaia i le Windows event log:
O loʻo faʻaalia e le Windows log ni faʻamatalaga e uiga i le faagasologa, ae e itiiti sona aoga. Fa'aopoopo ID fa'agasologa ile hexadecimal???
Mo se faʻapolofesa faʻapolofesa IT ma le malamalama i faʻavae o le hacking, o le laina o le poloaiga e tatau ona masalomia. O le faʻaaogaina o le cmd.exe e faʻataʻitaʻi ai se isi faʻatonuga ma toe faʻafeiloaʻi le gaioiga i se faila ma se igoa uiga ese e tutusa lelei ma gaioiga o le mataʻituina ma le pulea o polokalama. : I lenei auala, ua faia ai se atigi pseudo e faʻaaoga ai auaunaga WMI.
Se'i o tatou va'ai i le fa'ailoga tutusa a Sysmon, maitau le tele o fa'amatalaga fa'aopoopo e maua mai ia i tatou:
Fa'aaliga Sysmon i le fa'amalama e tasi: fa'amatalaga au'ili'ili e uiga i le fa'agasologa i se fomu e mafai ona fa'aaoga
E le gata ina e vaʻai i le laina faʻatonu, ae faʻapea foʻi le igoa faila, le ala i le faʻaogaina o le talosaga, mea e iloa e Windows e uiga i ai ("Windows Command Processor"), le faʻamatalaga matua faiga, laina fa'atonu matua, lea na faʻalauiloaina le atigi cmd, faʻapea foʻi ma le igoa faila moni o le faagasologa matua. Mea uma i le nofoaga e tasi, mulimuli ane!
Mai le ogalaau a Sysmon e mafai ona tatou faʻamaonia e faʻapea o le maualuga o le avanoa o lenei laina faʻatonuga masalosalo na matou vaʻaia i le "mata" ogalaau e le o se taunuuga o le galuega masani a le tagata faigaluega. I se isi itu, na faia e le C2-pei o le faagasologa - wmiexec, e pei ona ou taʻua muamua - ma na faʻapipiʻiina saʻo e le WMI service process (WmiPrvSe). O lea ua i ai se matou faʻailoga o loʻo faʻataʻitaʻiina e se tagata osofaʻi mamao poʻo se tagata totonu le atinaʻe faʻapisinisi.
Fa'ailoaina Get-Sysmonlogs
Ioe e manaia pe a tuu e Sysmon ia ogalaau i se nofoaga e tasi. Ae atonu e sili atu pe a mafai ona tatou faʻaogaina faʻamaumauga taʻitasi i le polokalame - mo se faʻataʻitaʻiga, e ala i le PowerShell commands. I lenei tulaga, e mafai ona e tusia se tamai tusi PowerShell e otometi ai le sailiga mo faʻamataʻu mataʻutia!
E le o a'u le tagata muamua na maua se manatu faapena. Ma e lelei i nisi faʻasalalauga pou ma GitHub Ua uma ona faʻamatalaina pe faʻapefea ona faʻaogaina le PowerShell e faʻasalalau ai le log Sysmon. I loʻu tulaga, na ou manaʻo e aloese mai le tusiaina o laina eseese o faʻasologa o tusitusiga mo fanua taʻitasi a Sysmon. O lea na ou faʻaaogaina ai le mataupu faavae o le tagata paie ma ou te manatu na ou sau ma se mea manaia o se taunuuga.
O le itu taua muamua o le malosi o le 'au faitau Sysmon logs, faʻamama mea manaʻomia ma faʻaalia le iʻuga i le fesuiaiga PS, pei o iinei:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Afai e te manaʻo e faʻataʻitaʻi le poloaiga oe lava ia, e ala i le faʻaalia o mea o loʻo i totonu o le elemene muamua o le $events array, $events[0].Feʻau, o le gaioiga e mafai ona avea ma se faasologa o manoa tusitusiga ma se faatulagaga faigofie lava: le igoa o le Sysmon fanua, se kolone, ona sosoo ai lea ma le tau lava ia.
Talofa! Outputing Sysmon log into JSON-ready format
O e mafaufau ea i le mea e tasi e pei o aʻu? Faatasi ai ma sina taumafaiga sili atu, e mafai ona e faaliliuina le gaioiga i se manoa faʻapipiʻiina JSON ona uta saʻo lea i totonu o se mea PS e faʻaaoga ai se faʻatonuga malosi. .
O le a ou faʻaalia le PowerShell code mo le liua - e matua faigofie lava - i le isi vaega. Mo le taimi nei, seʻi o tatou vaʻai pe o le a le mea e mafai e laʻu poloaiga fou e taʻua o get-sysmonlogs, lea na ou faʻapipiʻiina o se PS module, e mafai ona fai.
Nai lo le su'esu'e loloto i le su'esu'ega o le log Sysmon e ala i se feso'ota'iga fa'alavelave fa'afuase'i, e mafai ona tatou su'esu'e ma le fa'atosina mo gaioiga fa'aopoopo sa'o mai se sauniga PowerShell, fa'apea fo'i ma le fa'aogaina o le tulafono PS. (alias – “?”) e faapuupuu ai taunuuga o sailiga:
Lisi o atigi cmd fa'alauiloa e ala i le WMI. Su'esu'ega Fa'amata'u i le Taumalaga ma La Tatou Lava Get-Sysmonlogs Team
Ofoofogia! Na ou faia se meafaigaluega e palota ai le Sysmon log e pei o se database. I la matou tusiga e uiga i na maitauina o lenei galuega o le a faia e le aoga malulu o loʻo faʻamatalaina i totonu, e ui lava o loʻo faʻaalia pea e ala i se atinaʻe e pei o le SQL. Ioe, EQL aulelei, ae o le a tatou paʻi atu i ai i le vaega lona tolu.
Sysmon ma le fa'avasegaina o kalafi
Sei o tatou laa i tua ma mafaufau i mea na faatoa tatou fatuina. O le mea moni, ua i ai nei le matou Windows database database e mafai ona maua i le PowerShell. E pei ona ou taʻua muamua, o loʻo i ai fesoʻotaʻiga poʻo sootaga i le va o faʻamaumauga - e ala i le ParentProcessId - o lea e mafai ai ona maua se faʻatulagaga atoa o faiga.
Afai na e faitau i le faasologa e te iloa o tagata taʻavale e fiafia e fatuina ni osofaʻiga lavelave tele-laasaga, lea e taʻalo ai gaioiga taʻitasi i lana lava vaega laiti ma saunia se puna mo le isi laasaga. E matua faigata lava ona pu'eina mea faapena mai le ogalaau "mata".
Ae faʻatasi ai ma laʻu Get-Sysmonlogs faʻatonuga ma se faʻamatalaga faʻaopoopo faʻamaumauga o le a tatou vaʻavaʻai i ai i se taimi mulimuli ane i le tusitusiga (o se kalafi, ioe), o loʻo i ai se matou auala aoga e iloa ai faʻamataʻu - e manaʻomia ai le faia o le suʻesuʻega saʻo.
E pei lava o taimi uma a matou DYI blog projects, o le tele o lou galue i le suʻesuʻeina o auiliiliga o faʻamataʻu i luga o se laʻititi laʻititi, o le tele foi lea o le a e iloa ai le lavelave o le suʻesuʻeina o faʻamataʻu i le atinaʻe. Ma o lenei faʻamatalaga e matua tele lava itu taua.
O le a tatou fetaiaʻi ma faʻalavelave mataʻina muamua i le vaega lona lua o le tusiga, lea o le a amata ai ona tatou faʻafesoʻotaʻi mea tutupu a Sysmon i le tasi ma le isi i ni fausaga sili atu ona faigata.
puna: www.habr.com