Setsi sa mosebetsi sa mosebelisi ke sebaka se tlokotsing ka ho fetesisa sa meaho mabapi le ts'ireletso ea tlhahisoleseling. Basebelisi ba ka fumana lengolo le eang ho lengolo-tsoibila la bona la mosebetsi le bonahalang eka le tsoa mohloling o sireletsehileng, empa ka sehokelo sa sebaka se nang le tšoaetso. Mohlomong motho e mong o tla khoasolla sesebelisoa sa bohlokoa bakeng sa mosebetsi sebakeng se sa tsejoeng. Ee, o ka tla le linyeoe tse ngata tsa hore na malware a ka kenella joang mehloling ea likhoebo ka har'a basebelisi. Ka hona, li-workstations li hloka tlhokomelo e eketsehileng, 'me sehloohong sena re tla u bolella hore na ke liketsahalo life tseo u lokelang ho li nka ho hlahloba litlhaselo.
Ho bona tlhaselo kapele kamoo ho ka khonehang, WIndows e na le mehloli e meraro e sebetsang ea liketsahalo: Log ea Ketsahalo ea Ts'ireletso, Log ea Tlhokomelo ea Ts'ebetso, le Li-Logs tsa Power Shell.
Ts'ireletso ea Ketsahalo ea Ts'ireletso
Ena ke sebaka se seholo sa polokelo bakeng sa li-log tsa ts'ireletso ea sistimi. Sena se kenyeletsa diketsahalo tsa ho kena/ho tswa, phihlello ya dintho, diphetoho tsa leano, le mesebetsi e meng e amanang le tshireletso. Ehlile, haeba pholisi e nepahetseng e lokiselitsoe.
Palo ea basebelisi le lihlopha (liketsahalo 4798 le 4799). Qalong ea tlhaselo, malware hangata e batlisisa li-account tsa basebelisi ba lehae le lihlopha tsa lehae sebakeng sa mosebetsi ho fumana lintlha tsa ts'ebetso ea eona e litšila. Liketsahalo tsena li tla thusa ho bona khoutu e mpe pele e tsoela pele, 'me, ka ho sebelisa data e bokelletsoeng, e hasana ho litsamaiso tse ling.
Ho theha ak'haonte ea lehae le liphetoho lihlopheng tsa lehae (liketsahalo 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 le 5377). Tlhaselo e ka boela ea qala, ka mohlala, ka ho eketsa mosebedisi e mocha ho sehlopha sa batsamaisi ba lehae.
Maiteko a ho kena ka ak'haonte ea lehae (ketsahalo ea 4624). Basebelisi ba hlomphehang ba kena ka ak'haonte ea domain, 'me ho tsebahatsa ho kena tlas'a akhaonto ea sebaka seo ho ka bolela ho qala ha tlhaselo. Ketsahalo ea 4624 e boetse e kenyelletsa li-logins tlasa ak'haonte ea domain, kahoo ha o sebetsana le liketsahalo, o hloka ho sefa liketsahalo moo sebaka se fapaneng le lebitso la sebaka sa mosebetsi.
Boiteko ba ho kena ka akhaonto e boletsoeng (ketsahalo 4648). Sena se etsahala ha ts'ebetso e ntse e sebetsa ka mokhoa oa "run as". Sena ha sea lokela ho etsahala nakong ea ts'ebetso e tloaelehileng ea litsamaiso, kahoo liketsahalo tse joalo li tlameha ho laoloa.
Ho notlela / ho notlolla sebaka sa mosebetsi (liketsahalo 4800-4803). Mokhahlelo oa liketsahalo tse belaetsang o kenyelletsa liketso life kapa life tse etsahetseng setsing sa mosebetsi se notletsoeng.
Liphetoho tsa tlhophiso ea firewall (liketsahalo 4944-4958). Ho hlakile hore ha u kenya software e ncha, litlhophiso tsa tlhophiso ea firewall li ka fetoha, tse tla baka maikutlo a fosahetseng. Maemong a mangata, ha ho hlokahale ho laola liphetoho tse joalo, empa ka sebele ho ke ke ha utloisa bohloko ho tseba ka tsona.
Ho hokela lisebelisoa tsa Plug'n'play (ketsahalo ea 6416 le bakeng sa WIndows 10 feela). Ho bohlokoa ho beha leihlo ho sena haeba basebelisi hangata ba sa hokela lisebelisoa tse ncha setsing sa mosebetsi, empa ka tšohanyetso ba etsa joalo.
Windows e kenyelletsa likarolo tse 9 tsa tlhahlobo le likaroloana tse 50 bakeng sa tokiso e ntle. Bonyane sete ea likaroloana tse lokelang ho lumelloa ho litlhophiso:
Logon / Logoff
- Logon;
- Tsoa;
- Account Lockout;
- Liketsahalo tse ling tsa Logon/Logoff.
Tsamaiso ea Ak'haonte
- Taolo ea Akhaonto ea Mosebelisi;
- Tsamaiso ea Sehlopha sa Tšireletso.
Phetoho ea Leano
- Phetoho ea Leano la Audit;
- Phetoho ea Leano la netefatso;
- Phetoho ea Leano la tumello.
System Monitor (Sysmon)
Sysmon ke sesebelisoa se hahiloeng ka har'a Windows se ka rekotang liketsahalo ho log log. Hangata o hloka ho e kenya ka thoko.
Liketsahalo tsona tsena, ha e le hantle, li ka fumanoa bukeng ea ts'ireletso (ka ho nolofalletsa leano le lakatsehang la tlhahlobo), empa Sysmon e fana ka lintlha tse ling. Ke liketsahalo life tse ka nkiloeng ho Sysmon?
Tlhahiso ea ts'ebetso (ketsahalo ID 1). Lethathamo la ketsahalo ea ts'ireletso ea sistimi le ka u bolella ha *.exe e qalile esita le ho bontša lebitso la eona le tsela ea ho qala. Empa ho fapana le Sysmon, e ke ke ea khona ho bonts'a hash ea kopo. Software e mpe e kanna ea bitsoa notepad.exe e se nang kotsi, empa ke hashi e tla e hlahisa.
Lihokelo tsa Marang-rang (Ketsahalo ID 3). Ho hlakile hore ho na le likhokahano tse ngata tsa marang-rang, 'me ho ke ke ha khoneha ho boloka tlaleho ea tsona kaofela. Empa ho bohlokoa ho nahana hore Sysmon, ho fapana le Ts'ireletso ea Ts'ireletso, e ka tlama khokahano ea marang-rang ho masimo a ProcessID le ProcessGUID, mme e bonts'a liaterese tsa boema-kepe le tsa IP tsa mohloli le moo ho eang teng.
Liphetoho ho ngoliso ea tsamaiso (ketsahalo ID 12-14). Tsela e bonolo ka ho fetisisa ea ho itlhahisa ho autorun ke ho ingolisa ho registry. Log ea Ts'ireletso e ka etsa sena, empa Sysmon e bonts'a hore na ke mang ea entseng liphetoho, neng, ho tsoa hokae, ID ea ts'ebetso le boleng ba bohlokoa bo fetileng.
Tlhahiso ea faele (ketsahalo ID 11). Sysmon, ho fapana le Security Log, e ke ke ea bonts'a sebaka sa faele feela, empa le lebitso la eona. Ho hlakile hore u ke ke ua boloka tlaleho ea ntho e 'ngoe le e' ngoe, empa u ka hlahloba li-directory tse itseng.
Mme joale se seng ka har'a maano a Security Log, empa se ho Sysmon:
Phetoho ea nako ea ho etsa faele (ketsahalo ID 2). Tse ling tsa malware li ka senya letsatsi la tlhahiso ea faele ho e pata litlalehong tsa lifaele tse sa tsoa etsoa.
Ho kenya li-drivers le lilaeborari tse matla (li-ID tsa ketsahalo 6-7). Ho beha leihlo ho kenya li-DLL le li-driver tsa lisebelisoa mohopolong, ho lekola signature ea dijithale le bonnete ba eona.
Theha khoele ka mokhoa o sebetsang (ketsahalo ID 8). Mofuta o mong oa tlhaselo oo le oona o hlokang ho behoa leihlo.
Liketsahalo tsa RawAccessRead (Ketsahalo ID 9). Ts'ebetso ea ho bala disk u sebelisa "". Maemong a mangata, mosebetsi o joalo o lokela ho nkoa e le o sa tloaelehang.
Theha molatsoana oa faele o rehiloeng (ketsahalo ID 15). Ketsahalo e kenngoa ha ho thehoa faele e bitsoang file stream e hlahisang liketsahalo tse nang le hash ea litaba tsa faele.
Ho theha phala e nang le lebitso le khokahano (ketsahalo ID 17-18). Ho latela khoutu e kotsi e hokahanang le likarolo tse ling ka peipi e boletsoeng.
Ketsahalo ea WMI (ketsahalo ID 19). Ngoliso ea liketsahalo tse hlahisoang ha ho fihlella sistimi ka protocol ea WMI.
Ho sireletsa Sysmon ka boeona, o hloka ho beha liketsahalo leihlo ka ID 4 (Sysmon stop and start) le ID 16 (Sysmon configuration changes).
Matla Shell Logs
Power Shell ke sesebelisoa se matla sa ho laola lisebelisoa tsa Windows, kahoo menyetla e mengata ea hore mohlaseli a e khethe. Ho na le mehloli e 'meli eo u ka e sebelisang ho fumana lintlha tsa ketsahalo ea Power Shell: Windows PowerShell log le Microsoft-WindowsPowerShell/Log ea ts'ebetso.
Lenaneo la Windows PowerShell
Mofani oa data o kentsoe (ketsahalo ID 600). Bafani ba PowerShell ke mananeo a fanang ka mohloli oa data hore PowerShell e shebe le ho e laola. Mohlala, bafani ba hahelletsoeng e ka ba mefuta e fapaneng ea tikoloho ea Windows kapa registry ea sistimi. Ho hlaha ha barekisi ba bacha ho tlameha ho behoa leihlo e le hore ho ka bonoa liketso tse lonya ka nako. Ka mohlala, haeba u bona WSMan e hlaha har'a bafani, joale lenaneo le hole la PowerShell le se le qalile.
Microsoft-WindowsPowerShell / Log ea ts'ebetso (kapa MicrosoftWindows-PowerShellCore / E sebetsa ho PowerShell 6)
Ho rengoa ha mojule (ketsahalo ID 4103). Liketsahalo li boloka tlhahisoleseling mabapi le taelo e 'ngoe le e' ngoe e phethiloeng le li-parameter tseo e neng e bitsoa ka tsona.
Ho thibela ho rengoa ha mongolo (ketsahalo ID 4104). Ho rengoa ha script ho bonts'a boloko bo bong le bo bong ba khoutu ea PowerShell e kentsoeng. Leha mohlaseli a leka ho pata taelo, mofuta ona oa ketsahalo o tla bonts'a taelo ea PowerShell e hlileng e phethisitsoeng. Mofuta ona oa ketsahalo o ka boela oa kenya mehala e meng ea boemo bo tlase ba API e ntseng e etsoa, liketsahalo tsena hangata li rekotoa joalo ka Verbose, empa haeba taelo e belaetsang kapa mongolo o sebelisoa ka har'a khoutu, e tla kenngoa joalo ka Temoso.
Ka kopo elelloa hore hang ha sesebelisoa se lokiselitsoe ho bokella le ho sekaseka liketsahalo tsena, ho tla hlokahala nako e eketsehileng ea ho lokisa liphoso ho fokotsa palo ea lintlha tse fosahetseng.
Re bolelle maikutlong hore na u bokella lintlha life bakeng sa tlhahlobo ea ts'ireletso ea tlhahisoleseling le lisebelisoa life tseo u li sebelisang bakeng sa sena. E 'ngoe ea libaka tseo re tsepamisang maikutlo ho tsona ke litharollo tsa ho hlahloba liketsahalo tsa ts'ireletso ea tlhahisoleseling. Ho rarolla bothata ba ho bokella le ho sekaseka likutu, re ka fana ka maikutlo a ho shebisisa , e ka hatellang data e bolokiloeng ka karo-karolelano ea 20: 1, 'me mohlala o le mong o kentsoeng o khona ho sebetsana le liketsahalo tse ka bang 60000 motsotsoana ho tsoa mehloling e 10000.
Source: www.habr.com