ProHoster > Π‘Π»ΠΎΠ³ > Maamulka > Sysmon hadda waxa uu qori karaa waxa ka kooban sabuuradaha

Sysmon hadda waxa uu qori karaa waxa ka kooban sabuuradaha

Siideynta nooca 12 ee Sysmon waxaa lagu dhawaaqay Sebtembar 17-keedii Sysinternals bogga. Dhab ahaantii, nuucyada cusub ee Kormeerka Habka iyo ProcDump ayaa sidoo kale la sii daayay maalintan. Maqaalkan waxaan kaga hadli doonaa furaha iyo hal-abuurka cusub ee muranka dhaliyay ee version 12 ee Sysmon - nooca dhacdooyinka leh ID Event ID 24, kaas oo shaqada la galiyay sabuuradda.

Sysmon hadda waxa uu qori karaa waxa ka kooban sabuuradaha

Macluumaadka laga helayo dhacdadan noocan ahi waxay furaysaa fursado cusub oo lagula socdo dhaqdhaqaaqa laga shakiyo (iyo sidoo kale baylahda cusub). Markaa, waad fahmi kartaa cidda, meesha iyo waxa ay isku dayeen inay nuqul ka sameeyaan. Hoosta gooynta waxaa ku yaal sharraxaad qaybo ka mid ah dhacdooyinka cusub iyo dhowr kiis oo la isticmaalo.

Munaasabadda cusub waxay ka kooban tahay qaybaha soo socda:

Sawirka: habka xogta lagu qoray sanduuqa.
Kulanka: fadhigii looxa lagu qoray. Waxay noqon kartaa system (0)
markaad ka shaqaynayso online ama meel fog, iwm.
Macluumaadka Macmiilka: waxa ku jira magaca isticmaalaha fadhiga iyo, xaalada fadhi fog, magaca martida loo yahay ee asalka ah iyo ciwaanka IP, haddii la heli karo.
Xashiish: ayaa go'aamiya magaca faylka lagu kaydiyay qoraalka la koobiyay (oo la mid ah la shaqaynta dhacdooyinka nooca FileDelete).
kaydsan xaaladda, haddii qoraalka ka soo baxay sabuuradda lagu kaydiyey buugga kaydka Sysmon.

Labadii goobood ee ugu dambeeyay waa cabsi. Xaqiiqdu waxay tahay in tan iyo nooca 11 Sysmon (oo leh goobo ku habboon) uu keydin karo xog kala duwan hagaha kaydka. Tusaale ahaan, Aqoonsiga Dhacdada 23 wuxuu diiwaan geliyaa faylalka tirtirka dhacdooyinka wuxuuna ku kaydin karaa dhamaantood isla hagaha kaydka. Calaamadda CLIP waxaa lagu daraa magaca faylasha la abuuray iyadoo ay ugu wacan tahay la shaqaynta sabuuradda. Faylasha laftooda waxaa ku jira xogta saxda ah ee lagu koobiyeeyay sabuuradda.

Tani waa sida uu u eg yahay faylka la keydiyay
Sysmon hadda waxa uu qori karaa waxa ka kooban sabuuradaha

Ku kaydinta faylka waa la damiyay inta lagu jiro rakibidda. Waxaad dejin kartaa liisaska cad ee hababka kuwaas oo qoraalka aan loo kaydin doonin.

Tani waa sida rakibidda Sysmon u eg tahay oo leh habaynta hagaha kaydka ee habboon:
Sysmon hadda waxa uu qori karaa waxa ka kooban sabuuradaha

Halkan, waxaan u maleynayaa, inay mudan tahay in la xasuusto maamulayaasha sirta ah ee sidoo kale isticmaala boodhka. Haysashada Sysmon ee nidaamka leh maamulaha erayga sirta ah waxay kuu ogolaanaysaa (ama weeraryahan) inaad qabato furahaas. Adiga oo u maleynaya inaad ogtahay habka loo qoondeynayo qoraalka la koobiyay (oo tani had iyo jeer maaha habka maamulaha sirta ah, laakiin laga yaabee qaar ka mid ah svchost), ka reeban waxaa lagu dari karaa liiska cad oo aan la badbaadin.

Waxaa laga yaabaa inaadan ogeyn, laakiin qoraalka ka soo baxay sabuuradda waxaa qabta server-ka fog marka aad u beddesho qaabka fadhiga RDP. Haddii aad wax ku haysato sabuuraddaada oo aad u kala beddesho fadhiyada RDP, macluumaadkaas ayaa kula socon doona.

Aynu soo koobno ​​awoodaha Sysmon ee la shaqaynta sabuuradda.

go'an:

  • Nuqul qoraal ah oo qoraal ah oo la dhejiyay iyada oo loo sii marayo RDP iyo gudaha;
  • Ka soo qaad xogta sabuuradda agabyo/habso kala duwan;
  • Nuqul ka/ku dheji qoraalka ka/ku dheji mashiinka farsamada gacanta, xitaa haddii qoraalkan aan weli la dhejin.

Lama duubin:

  • Koobiyaynta/ku dhejinta feylasha ka/ku dhejinta mishiinka farsamada ee maxaliga ah;
  • Ku koobbi/ku dheji faylalka RDP
  • Malware-ka afduuba sabuuraddaada ayaa kaliya wax u qorta sabuuradda lafteeda.

Inkasta oo ay madmadow ku jirto, dhacdadan noocan ahi waxay kuu ogolaaneysaa inaad soo celiso algorithm-ka weeraryahanka ee ficillada iyo caawinta aqoonsiga xogta hore ee aan la heli karin ee samaynta dhimashada ka dib weerarrada ka dib. Haddii wax ku qorista sabuuradda ay wali shaqaynayso, waxa muhiim ah in la diiwaan geliyo gelitaanka tusaha kaydka oo la garto kuwa khatarta ah (ma aha mid bilaabay sysmon.exe).

Si aad u duubto, u falanqayso ugana falceliso dhacdooyinka kor ku xusan, waxaad isticmaali kartaa qalabka Kalsoonida, kaas oo isku dara dhammaan saddexda hab iyo, marka lagu daro, waa kayd dhexe oo wax ku ool ah dhammaan xogta cayriin ee la ururiyey. Waxaan ku habeyn karnaa la-qabsigeeda nidaamyada caanka ah ee SIEM si loo yareeyo kharashka shati-siintooda anagoo u wareejinayna farsamaynta iyo kaydinta xogta ceeriin InTrust.

Si aad wax badan uga barato InTrust, akhri maqaaladeenii hore ama ku dhaaf codsi foomka jawaab celinta.

Sida loo dhimo qiimaha lahaanshaha nidaamka SIEM iyo sababta aad ugu baahan tahay Maamulka Logda Dhexe (CLM)

Waxaan awoodnaa ururinta dhacdooyinka ku saabsan bilaabista hababka shakiga leh ee Windows oo aan aqoonsanno hanjabaadaha anagoo adeegsanayna Quest InTrust

Sida InTrust ay gacan uga geysan karto dhimista heerka isku dayga oggolaanshaha ee guul-darraystay iyada oo loo marayo RDP

Waxaan ogaanay weerarka madaxfurasho, helna maamulaha domainka oo aan isku dayno inaan iska caabino weeraradan

Maxaa ka faa'iidaysan kara diiwaanka goobta shaqada ee ku salaysan Windows OS (maqaal caan ah)

Yaase sameeyay? Waxaan si otomaatig ah u dhignaa ilaalinta amniga macluumaadka

Source: www.habr.com

Add a comment