Sengoliloeng sena ke karolo ea pele ea letoto la tlhahlobo ea tšokelo ea Sysmon. Likarolo tse ling kaofela tsa letoto:
Karolo ea 1: Selelekela sa Tlhahlobo ea Log ea Sysmon (re mona)
Karolo ea 2: Ho Sebelisa Boitsebiso ba Ketsahalo ea Sysmon ho Khetholla Litšokelo
Karolo ea 3. Tlhahlobo e tebileng ea litšokelo tsa Sysmon ka ho sebelisa kerafo
Haeba o sebetsa ts'ireletso ea tlhahisoleseling, mohlomong hangata o tlameha ho utloisisa litlhaselo tse tsoelang pele. Haeba u se u ntse u e-na le leihlo le koetlisitsoeng, u ka sheba mesebetsi e sa tloaelehang ho "tse tala" tse sa sebetsoeng - e re, mongolo oa PowerShell o sebetsa. kapa sengoloa sa VBS se iketsang eka ke faele ea Lentsoe - ho tsamaisetsa feela tšebetso ea morao-rao lethathamong la liketsahalo la Windows. Empa ena ke hlooho e bohloko haholo. Ka lehlohonolo, Microsoft e thehile Sysmon, e etsang hore tlhahlobo ea tlhaselo e be bonolo haholoanyane.
U batla ho utloisisa mehopolo ea mantlha ka morao ho litšokelo tse bontšitsoeng ho Sysmon log? Khoasolla tataiso ea rona 'me ua hlokomela kamoo batho ba ka hare ba ka shebellang basebetsi ba bang ka lekunutu. Bothata bo ka sehloohong ba ho sebetsa le tlaleho ea liketsahalo tsa Windows ke ho hloka tlhahisoleseding mabapi le mekhoa ea motsoali, i.e. ho ke ke ha khoneha ho utloisisa bolaoli ba lits'ebetso ho tsoa ho eona. Ka lehlakoreng le leng, likenyelletso tsa log tsa Sysmon li na le ID ea ts'ebetso ea motsoali, lebitso la eona le mohala oa taelo o tla hlahisoa. Kea leboha, Microsoft.
Karolong ea pele ea letoto la rona, re tla sheba seo u ka se etsang ka tlhaiso-leseling ea mantlha e tsoang ho Sysmon. Karolong ea XNUMX, re tla sebelisa monyetla o felletseng oa tlhaiso-leseling ea motsoali ho theha mekhoa e rarahaneng ea ho latela melao e tsejoang ka hore ke li-graph graphs. Karolong ea boraro, re tla sheba algorithm e bonolo e hlahlobang kerafo ea tšokelo ho batla mosebetsi o sa tloaelehang ka ho hlahloba "boima" ba graph. 'Me qetellong, u tla putsoa ka mokhoa o makhethe (le o utloisisoang) oa ho lemoha litšokelo.
Karolo ea 1: Selelekela sa Tlhahlobo ea Log ea Sysmon
Ke eng e ka u thusang ho utloisisa mathata a tlaleho ea liketsahalo? Qetellong - SIEM. E etsa hore liketsahalo li tloaelehe le ho nolofatsa tlhahlobo ea tsona e latelang. Empa ha rea tlameha ho ea bohole bo bokaalo, bonyane eseng qalong. Qalong, ho utloisisa melao-motheo ea SIEM, ho tla lekana ho leka ts'ebeliso e ntle ea mahala ea Sysmon. Mme ka tsela e makatsang ho bonolo ho sebetsa le yena. Tsoela pele, Microsoft!
Sysmon o na le likarolo life?
Ka bokhutšoane - tlhahisoleseding e molemo le e ka baloang mabapi le mekhoa (sheba litšoantšo tse ka tlase). U tla fumana lintlha tse ngata tsa bohlokoa tse sieo ho Windows Event Log, empa tsa bohlokoa ka ho fetisisa ke likarolo tse latelang:
- ID ea ts'ebetso (ka decimal, eseng hex!)
- ID ea tšebetso ea motsoali
- Mola oa taelo oa ts'ebetso
- Mola oa taelo oa ts'ebetso ea motsoali
- Setšoantšo sa faele
- Mabitso a litšoantšo tsa faele
Sysmon e kentsoe ka bobeli e le mokhanni oa sesebelisoa le joalo ka ts'ebeletso - lintlha tse ling Molemo oa eona o ka sehloohong ke bokhoni ba ho hlahloba li-logs ho tloha tse 'maloa mehloli, khokahano ea tlhaiso-leseling le tlhahiso ea boleng bo hlahisoang ho foldara e le 'ngoe ea lintlha tsa ketsahalo e haufi le tsela Microsoft -> Windows -> Sysmon -> E sebetsa. Lipatlisisong tsa ka tsa ho phahamisa moriri ka har'a li-logs tsa Windows, ke ile ka iphumana ke lula ke tlameha ho chencha lipakeng, ho re, foldara ea li-log tsa PowerShell le foldara ea Ts'ireletso, ke ntse ke phunyeletsa ka har'a likotlo tsa ketsahalo ka boiteko bo matla ba ho hokahanya litekanyetso lipakeng tsa tse peli. . Hona ha ho mohla e leng mosebetsi o bonolo, 'me joalokaha ke ile ka hlokomela hamorao, ho ne ho le molemo ho boloka aspirin hang-hang.
Sysmon e nka lebelo le holimo ka ho fana ka lintlha tse sebetsang (kapa joalo ka ha barekisi ba rata ho re, ho ka etsahala) ho thusa ho utloisisa lits'ebetso tse teng. Ka mohlala, ke ile ka qala lenaneo la lekunutu , ho etsisa motsamao oa motho ea bohlale ka hare ho marang-rang. Sena ke seo u tla se bona lethathamong la liketsahalo la Windows:
Log ea Windows e bonts'a tlhahisoleseling mabapi le ts'ebetso, empa ha e na thuso e nyane. Hape le li-ID tsa ts'ebetso ka hexadecimal ???
Bakeng sa setsebi sa setsebi sa IT se nang le kutloisiso ea metheo ea ho senya, mohala oa taelo o lokela ho belaella. Ho sebelisa cmd.exe ho tsamaisa taelo e 'ngoe le ho fetisetsa tlhahiso ho faele e nang le lebitso le makatsang ho tšoana hantle le liketso tsa ho beha leihlo le ho laola software. : Ka tsela ena, pseudo-shell e etsoa ho sebelisoa litšebeletso tsa WMI.
Joale ha re shebeng se lekanang le Sysmon, re hlokomele hore na e re fa leseli le lengata hakae:
Likarolo tsa Sysmon skrineng se le seng: lintlha tse qaqileng mabapi le ts'ebetso ka mokhoa o ka baloang
Ha u bone mola oa taelo feela, empa hape le lebitso la faele, tsela ea ts'ebeliso e sebetsang, seo Windows e se tsebang ka eona ("Windows Command Processor"), sekhetho. motsoadi ts'ebetso, mola oa taelo motsoadi, e qalileng khetla ea cmd, hammoho le lebitso la sebele la faele ea ts'ebetso ea motsoali. Tsohle di sebakeng se le seng, qetellong!
Ho tloha ho Sysmon log re ka etsa qeto ea hore ka tekanyo e phahameng ea monyetla oa taelo ena e belaetsang eo re e boneng ka har'a likutu tse "pehileng" ha se phello ea mosebetsi o tloaelehileng oa mosebetsi. Ho fapana le hoo, e hlahisitsoe ke ts'ebetso e kang ea C2 - wmiexec, joalo ka ha ke boletse pejana - mme e hlahisitsoe ka kotloloho ke ts'ebetso ea ts'ebeletso ea WMI (WmiPrvSe). Joale re na le sesupo sa hore mohlaseli ea hole kapa motho ea ka hare o ntse a leka lisebelisoa tsa khoebo.
Ho hlahisa Get-Sysmonlogs
Ke 'nete hore ho monate ha Sysmon e beha lifate sebakeng se le seng. Empa mohlomong ho ka ba betere le ho feta haeba re ne re ka fihlella masimo a mang ka mokhoa o hlophisitsoeng - mohlala, ka litaelo tsa PowerShell. Tabeng ena, o ka ngola mongolo o monyane oa PowerShell o tla iketsetsa patlo ea litšokelo tse ka bang teng!
Ke ne ke se motho oa pele oa ho ba le maikutlo a joalo. 'Me ho molemo hore ho tse ling tsa li-forum le GitHub Ho se ho hlalositsoe mokhoa oa ho sebelisa PowerShell ho fetisa logi ea Sysmon. Tabeng ea ka, ke ne ke batla ho qoba ho ngola mela e arohaneng ea sengoloa bakeng sa tšimo e 'ngoe le e 'ngoe ea Sysmon. Kahoo ke ile ka sebelisa molao-motheo oa monna ea botsoa 'me ke nahana hore ke tlile ka ntho e thahasellisang ka lebaka leo.
Ntlha ea pele ea bohlokoa ke bokhoni ba sehlopha bala lintlha tsa Sysmon, sefa liketsahalo tse hlokahalang 'me u hlahise sephetho ho PS e feto-fetohang, joalo ka mona:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Haeba u batla ho itlhahloba taelo ka bouena, ka ho bonts'a litaba karolong ea pele ea lethathamo la liketsahalo tsa $, liketsahalo tsa $[0] .Molaetsa, tlhahiso e ka ba letoto la likhoele tsa mongolo tse nang le sebopeho se bonolo haholo: lebitso la Tšimo ea Sysmon, kolone, ebe boleng ka boeona.
Hooray! Ho hlahisa Sysmon ho kena ka har'a sebopeho se loketseng JSON
Na le uena u nahana ntho e tšoanang le ea ka? Ka boikitlaetso bo eketsehileng, o ka fetolela tlhahiso ho khoele e hlophisitsoeng ea JSON ebe o e kenya ka kotloloho nthong ea PS o sebelisa taelo e matla. .
Ke tla bonts'a khoutu ea PowerShell bakeng sa phetoho - e bonolo haholo - karolong e latelang. Hajoale, ha re boneng hore na taelo ea ka e ncha e bitsoang get-sysmonlogs, eo ke e kentseng e le mojule oa PS, e ka e etsa eng.
Sebakeng sa ho kenella ka botebo tlhahlobisong ea log ea Sysmon ka sebopeho se sa sebetseng sa logong la liketsahalo, re ka batla ts'ebetso e ntseng e eketseha ka kotloloho ho tsoa lenaneong la PowerShell, hammoho le ho sebelisa taelo ea PS. (ka mantsoe a mang - "?") ho khutsufatsa liphetho tsa lipatlisiso:
Lethathamo la likhetla tsa cmd tse hlahisitsoeng ka WMI. Tlhahlobo ea Litšokelo ka Theko e tlase le Sehlopha sa Rona sa Fumana-Sysmonlogs
E babatseha! Ke thehile sesebelisoa sa ho khetha sengoloa sa Sysmon joalo ka ha eka ke database. Sehloohong sa rona mabapi le ho ile ha hlokomeloa hore ts'ebetso ena e tla etsoa ke ts'ebeliso e pholileng e hlalositsoeng ho eona, le hoja e ntse e le ka sebopeho sa sebele sa SQL. Ho joalo, EQL elegantne, empa re tla e ama karolong ea boraro.
Sysmon le tlhahlobo ea kerafo
Ha re khutlele morao 'me re nahane ka seo re sa tsoa se etsa. Ha e le hantle, joale re na le database ea liketsahalo tsa Windows tse fumanehang ka PowerShell. Joalo ka ha ke hlokometse pejana, ho na le likhokahano kapa likamano lipakeng tsa lirekoto - ka ParentProcessId - kahoo sehlopha se felletseng sa lits'ebetso se ka fumanoa.
Haeba u balile letoto ua tseba hore basomi ba rata ho theha litlhaselo tse rarahaneng tsa mekhahlelo e mengata, moo ts'ebetso e 'ngoe le e' ngoe e bapalang karolo ea eona e nyane mme e lokisa sethala bakeng sa mohato o latelang. Ho thata haholo ho ts'oara lintho tse joalo ka har'a logong "e tala".
Empa ka taelo ea ka ea Get-Sysmonlogs le sebopeho sa data sa tlatsetso re tla sheba hamorao sengolong (ke nete hore kerafo), re na le mokhoa o sebetsang oa ho bona litšokelo - tse hlokang ho etsa patlisiso e nepahetseng ea vertex.
Joalo ka mehla ka merero ea rona ea blog ea DYI, ha o ntse o sebetsa haholo ho sekaseka lintlha tsa litšokelo ka tekanyo e nyane, ke moo o tla elelloa le ho feta hore na ho rarahana ha litšokelo ho thata hakae maemong a khoebo. Mme tlhokomeliso ena e matla haholo ntlha ya bohlokwa.
Re tla kopana le mathata a pele a khahlisang karolong ea bobeli ea sengoloa, moo re tla qala ho hokahanya liketsahalo tsa Sysmon le tse ling ho etsa meaho e rarahaneng haholo.
Source: www.habr.com