Iyo mushandisi workstation ndiyo inonyanya kutambudzika nzvimbo yezvivakwa maererano nekuchengetedza ruzivo. Vashandisi vanogona kugashira tsamba kuemail yavo yebasa inoita seinobva kwakachengeteka sosi, asi ine chinongedzo kunzvimbo ine hutachiona. Zvichida mumwe munhu achadhawunirodha chishandiso chinobatsira kubasa kubva kunzvimbo isingazivikanwe. Ehe, iwe unogona kuuya neakawanda emakesi ekuti malware inogona sei kupinza mukati memakambani zviwanikwa kuburikidza nevashandisi. Naizvozvo, nzvimbo dzekushandira dzinoda kutariswa kwakawedzera, uye mune ino chinyorwa tichakuudza kupi uye chii zviitiko zvekutora kutarisa kurwiswa.
Kuti uone kurwiswa padanho rekutanga, WIndows ine matatu anobatsira chiitiko masosi: Chengetedzo Chiitiko Log, iyo System Monitoring Log, uye iyo Power Shell Logs.
Chengetedzo Chiitiko Log
Iyi ndiyo nzvimbo huru yekuchengetedza matanda ekuchengetedza system. Izvi zvinosanganisira zviitiko zvekupinda kwemushandisi / kubuda, kuwana zvinhu, shanduko yemitemo, uye zvimwe zviitiko zvine chekuita nekuchengetedza. Zvechokwadi, kana mutemo wakakodzera wakagadzirirwa.
Kuverengwa kwevashandisi nemapoka (zviitiko 4798 uye 4799). Pakutanga kwekurwiswa, malware anowanzo tsvaga mumaakaundi emushandisi emunharaunda uye mapoka emunharaunda panzvimbo yekushandira kuti awane humbowo hwekuita kwayo kwemumvuri. Izvi zviitiko zvichabatsira kuona yakaipa kodhi isati yaenderera mberi uye, uchishandisa iyo yakaunganidzwa data, inopararira kune mamwe masisitimu.
Kugadzirwa kweakaundi yenzvimbo uye shanduko mumapoka emunharaunda (zviitiko 4720, 4722β4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 uye 5377). Kurwiswa kunogonawo kutanga, semuenzaniso, nekuwedzera mushandisi mutsva kuboka revatungamiriri venzvimbo.
Pinda kuedza neakaundi yemuno (chiitiko 4624). Vanoremekedzeka vashandisi vanopinda neiyo domain account, uye kuzivisa yekupinda pasi peakaundi yeko kunogona kureva kutanga kwekurwiswa. Chiitiko 4624 chinosanganisirawo logins pasi pedomendi account, saka kana uchigadzirisa zviitiko, unofanirwa kusefa zviitiko apo iyo domain yakasiyana nezita rekushanda.
Kuedza kupinda neakaundi yakataurwa (chiitiko 4648). Izvi zvinoitika kana maitiro ari kushanda mu "run as" mode. Izvi hazvifanirwe kuitika panguva yakajairika yekushanda kwemasystem, saka zviitiko zvakadaro zvinofanirwa kudzorwa.
Kukiya/kuvhura nzvimbo yekushandira (zviitiko 4800-4803). Chikamu chezviitiko zvinofungidzirwa zvinosanganisira chero zviito zvakaitika panzvimbo yakakiyiwa yekushanda.
Firewall configuration shanduko (zviitiko 4944-4958). Zviripachena, kana uchiisa software nyowani, iyo firewall configuration marongero anogona kuchinja, izvo zvinokonzeresa manyepo. Muzviitiko zvakawanda, hapana chikonzero chekudzora shanduko dzakadaro, asi hazvizokuvadzi kuziva nezvadzo.
Kubatanidza Plug'n'play zvishandiso (chiitiko 6416 uye chete WIndows 10). Izvo zvakakosha kuti utarise izvi kana vashandisi vasingawanzo kubatanidza zvishandiso zvitsva kunzvimbo yekushanda, asi ipapo vanongoerekana vaita.
Windows inosanganisira 9 zvikamu zvekuongorora uye makumi mashanu madiki ekugadzirisa zvakanaka. Iyo shoma seti yezvikamu zvidiki zvinofanirwa kugoneswa muzvirongwa:
Logon / Logoff
- Logon;
- Logoff;
- Account Lockout;
- Zvimwe Zviitiko zveLogon/Logoff.
Account Management
- User Account Management;
- Security Group Management.
Kuchinja Kwemitemo
- Audit Policy Shanduko;
- Authentication Policy Shanduko;
- Authorization Policy Shanduko.
System Monitor (Sysmon)
Sysmon ishandiso yakavakirwa muWindows iyo inogona kurekodha zviitiko murogi system. Kazhinji unoda kuiisa zvakasiyana.
Zviitiko zvimwe chete izvi zvinogona, mumusimboti, kuwanikwa mune yekuchengetedza log (nekugonesa inodiwa yekuongorora mutemo), asi Sysmon inopa rumwe ruzivo. Ndezvipi zviitiko zvinogona kutorwa kubva kuSysmon?
Kugadzira maitiro (chiitiko ID 1). Iyo system yekuchengetedza chiitiko chinyorwa inogona zvakare kukuudza iwe pakatanga * .exe uye kutoratidza zita rayo uye nzira yekuvhura. Asi kusiyana neSysmon, haizokwanisi kuratidza iyo hashi yekushandisa. Iyo yakaipa software inogona kunzi isina ngozi notepad.exe, asi iyo hashi ndiyo ichaiburitsa pachena.
Network Connections (Chiitiko ID 3). Zviripachena, kune akawanda etiweki ekubatanidza, uye hazvibviri kuchengeta iwo ese. Asi zvakakosha kufunga kuti Sysmon, kusiyana neChengetedzo Log, inogona kusunga network yekubatanidza kuProcessID neProcessGUID minda, uye inoratidza chiteshi uye IP kero kwekwakabva uye kwekuenda.
Shanduko mune registry system (chiitiko ID 12-14). Nzira iri nyore yekuzviwedzera kune autorun ndeyekunyoresa mune registry. Chengetedzo Rogi inogona kuita izvi, asi Sysmon inoratidza kuti ndiani akaita shanduko, apo, kubva kupi, process ID uye yakambokosha kukosha.
Kusikwa kwefaira (chiitiko ID 11). Sysmon, kusiyana neSecurity Log, haizoratidze chete nzvimbo yefaira, asiwo zita rayo. Zviripachena kuti haugone kuchengeta zvese zvese, asi unogona kuongorora mamwe madhairekitori.
Uye zvino izvo zvisiri muSecurity Log marongero, asi ari muSysmon:
Shanduko yenguva yekugadzira faira (Chiitiko ID 2). Imwe malware inogona kukanganisa zuva rekugadzira faira kuti rivanze kubva kumishumo yemafaira achangogadzirwa.
Kurodha vatyairi uye maraibhurari ane simba (yechiitiko ID 6-7). Kutarisisa kurodha kweDLL uye madhiraivha emidziyo mundangariro, kutarisa siginecha yedhijitari uye kushanda kwayo.
Gadzira tambo mukumhanya (chiitiko ID 8). Imwe mhando yekurwisa inodawo kuongororwa.
RawAccessRead Events (Chiitiko ID 9). Disk kuverenga mashandiro uchishandisa ".". Muzviitiko zvakawanda, basa rakadaro rinofanira kutorwa sechinhu chisina kujairika.
Gadzira zita refaira renziyo (chiitiko ID 15). Chiitiko chinodhindwa kana zita refaira renziyo ragadzirwa rinoburitsa zviitiko zvine hashi yezviri mukati mefaira.
Kugadzira pombi ine zita uye yekubatanidza (chiitiko ID 17-18). Kutsvaga kodhi yakaipa iyo inotaurirana nezvimwe zvikamu kuburikidza neipi yakapihwa zita.
WMI chiitiko (chiitiko ID 19). Kunyoreswa kwezviitiko zvinogadzirwa kana uchiwana sisitimu kuburikidza neWMI protocol.
Kuti udzivirire Sysmon pachayo, unofanirwa kutarisa zviitiko neID 4 (Sysmon kumira uye kutanga) uye ID 16 (Sysmon gadziriso shanduko).
Power Shell Logs
Power Shell chishandiso chine simba chekugadzirisa Windows zvivakwa, saka mikana yakakura yekuti anorwisa achaisarudza. Pane maviri masosi aunogona kushandisa kuwana Power Shell chiitiko data: Windows PowerShell log uye Microsoft-WindowsPowerShell/Kushanda log.
Windows PowerShell log
Data provider yakatakura (chiitiko ID 600). PowerShell vanopa zvirongwa zvinopa sosi yedata rePowerShell kuona uye kutonga. Semuyenzaniso, vakavakirwa-mukati vanopa vanogona kunge vari Windows nharaunda inosiyana kana iyo system registry. Kubuda kwevatengesi vatsva kunofanirwa kutariswa kuitira kuti vaone kuita kwakashata nenguva. Semuenzaniso, kana iwe ukaona WSMan ichionekwa pakati pevanopa, ipapo chikamu chiri kure chePowerShell chakatangwa.
Microsoft-WindowsPowerShell / Operational log (kana MicrosoftWindows-PowerShellCore / Inoshanda muPowerShell 6)
Module matanda (chiitiko ID 4103). Zviitiko chengetedza ruzivo nezve murairo wega wega wakaitwa uye maparameter ayo akadanwa nawo.
Script inovharira matanda (chiitiko ID 4104). Script yekuvhara matanda inoratidza yega yega yePowerShell kodhi yakaitwa. Kunyangwe munhu anorwisa akaedza kuvanza rairo, iyi mhando yechiitiko inoratidza iyo PowerShell murairo wakanyatso urayiwa. Ichi chiitiko cherudzi chinogona zvakare kuisa mamwe epasi-level API mafoni arikuitwa, izvi zviitiko zvinowanzorekodhwa seVerbose, asi kana chirevo chekufungidzira kana script ikashandiswa mubhuroko rekodhi, inozonyorwa seYambiro kuomarara.
Ndokumbira utarise kuti kana chishandiso chagadziriswa kuunganidza uye kuongorora zviitiko izvi, nguva yekuwedzera yekubvisa ichadikanwa kuderedza huwandu hwenhema.
Tiudze mune zvakataurwa kuti ndeapi matanda aunounganidza kuti uwane ruzivo rwekuchengetedza ongororo uye kuti ndeapi maturusi aunoshandisa pane izvi. Imwe yenzvimbo dzedu dzekutarisa mhinduro dzekuongorora zviitiko zvekuchengetedza ruzivo. Kugadzirisa dambudziko rekuunganidza nekuongorora matanda, tinogona kupa zano kutarisisa , iyo inogona kudzvanya data yakachengetwa nereshiyo ye20: 1, uye imwe yakaiswa muenzaniso wayo inokwanisa kugadzirisa kusvika ku60000 zviitiko pasekondi kubva kune gumi masosi.
Source: www.habr.com