Workstation pangguna mangrupikeun titik anu paling rentan tina infrastruktur dina hal kaamanan inpormasi. Pamaké tiasa nampi surat ka email padamelanna anu sigana ti sumber anu aman, tapi kalayan tautan ka situs anu kainféksi. Panginten aya anu bakal ngaunduh utilitas anu mangpaat pikeun damel ti lokasi anu teu dipikanyaho. Leres, anjeun tiasa mendakan puluhan kasus kumaha malware tiasa nyusup sumber daya perusahaan internal ngalangkungan pangguna. Ku alatan éta, workstations merlukeun ngaronjat perhatian, sarta dina artikel ieu kami bakal ngabejaan Anjeun dimana jeung naon kajadian pikeun ngawas serangan.
Pikeun ngadeteksi serangan dina tahap pangheubeulna mungkin, Windows boga tilu sumber acara mangpaat: Kaamanan Kajadian Log, System Monitoring Log, jeung Power Shell Logs.
Kaamanan Log Acara
Ieu mangrupikeun tempat panyimpen utama pikeun log kaamanan sistem. Ieu ngawengku acara login pamaké / logout, aksés ka objék, parobahan kawijakan jeung kagiatan patali kaamanan séjén. Tangtu, lamun kawijakan luyu ieu ngonpigurasi.
Enumerasi pangguna sareng grup (acara 4798 sareng 4799). Dina awal serangan, malware sering milarian akun pangguna lokal sareng grup lokal dina workstation pikeun milarian kredensial pikeun transaksi anu rindang. Kajadian ieu bakal ngabantosan ngadeteksi kode jahat sateuacan diteruskeun sareng, nganggo data anu dikumpulkeun, nyebar ka sistem anu sanés.
Nyiptakeun akun lokal sareng parobahan dina grup lokal (acara 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 sareng 5377). Serangan ogé tiasa dimimitian, contona, ku nambihan pangguna énggal ka grup pangurus lokal.
Usaha login sareng akun lokal (acara 4624). Pangguna anu terhormat log in sareng akun domain, sareng ngaidentipikasi login dina akun lokal tiasa hartosna awal serangan. Acara 4624 ogé kalebet login dina akun domain, janten nalika ngolah acara, anjeun kedah nyaring acara dimana domainna béda sareng nami workstation.
Usaha pikeun log in sareng akun anu ditangtukeun (acara 4648). Ieu kajadian nalika prosésna jalan dina modeu "run as". Ieu teu kudu lumangsung salila operasi normal tina sistem, jadi acara sapertos kudu dikawasa.
Ngonci / muka konci workstation (acara 4800-4803). Kategori kajadian curiga ngawengku sagala lampah nu lumangsung dina workstation dikonci.
Parobahan konfigurasi firewall (kajadian 4944-4958). Jelas, nalika masang parangkat lunak énggal, setélan konfigurasi firewall tiasa robih, anu bakal nyababkeun positip palsu. Dina kalolobaan kasus, teu perlu ngadalikeun parobahan misalna, tapi pasti moal menyakiti uninga ngeunaan eta.
Nyambungkeun alat Plug'n'play (acara 6416 sarta ngan pikeun Windows 10). Kadé tetep hiji panon on ieu lamun pamaké biasana teu nyambungkeun alat anyar ka workstation nu, tapi lajeng ujug-ujug maranéhna ngalakukeun.
Windows ngawengku 9 kategori audit jeung 50 subkategori pikeun fine-tuning. Set minimum subkategori anu kedah diaktipkeun dina setélan:
Logon / Logoff
- Asup;
- Kaluar;
- Lockout Akun;
- Logon séjén / Kajadian Logoff.
Management akun
- Manajemén Akun Pamaké;
- Manajemén Grup Kaamanan.
Robah kawijakan
- Robah Kabijakan Audit;
- Robah Kabijakan Auténtikasi;
- Robah Kawijakan Otorisasi.
Sistem Monitor (Sysmon)
Sysmon mangrupikeun utilitas anu diwangun kana Windows anu tiasa ngarékam kajadian dina log sistem. Biasana anjeun kedah pasang nyalira.
Kajadian anu sami ieu, prinsipna, tiasa dipendakan dina log kaamanan (ku cara ngaktipkeun kawijakan Inok anu dipikahoyong), tapi Sysmon nyayogikeun langkung rinci. Acara naon anu tiasa dicandak tina Sysmon?
Nyiptakeun prosés (ID acara 1). Log acara kaamanan sistem ogé tiasa nyarioskeun ka anjeun nalika *.exe dimimitian sareng nunjukkeun namina sareng jalur peluncuran. Tapi teu sapertos Sysmon, éta moal tiasa nunjukkeun hash aplikasi. Parangkat lunak jahat bahkan tiasa disebat notepad.exe anu teu bahaya, tapi hash anu bakal terang.
Sambungan Jaringan (ID Acara 3). Jelas, aya seueur sambungan jaringan, sareng mustahil pikeun ngalacak sadayana. Tapi hal anu penting pikeun mertimbangkeun yén Sysmon, Teu kawas Log Kaamanan, bisa meungkeut sambungan jaringan kana ProcessID na ProcessGUID widang, sarta nembongkeun port na alamat IP tina sumber jeung tujuan.
Parobahan dina pendaptaran sistem (ID acara 12-14). Cara panggampangna pikeun nambahkeun diri ka autorun nyaéta ngadaptar dina pendaptaran. Log Kaamanan tiasa ngalakukeun ieu, tapi Sysmon nunjukkeun saha anu ngarobih, iraha, ti mana, prosés ID sareng nilai konci sateuacana.
Nyiptakeun file (ID acara 11). Sysmon, teu sapertos Security Log, bakal nunjukkeun henteu ngan ukur lokasi file, tapi ogé namina. Ieu jelas yén anjeun teu bisa ngalacak sagalana, tapi anjeun bisa Inok directories tangtu.
Sareng ayeuna naon anu henteu aya dina kawijakan Log Kaamanan, tapi aya dina Sysmon:
Robah waktos nyiptakeun file (ID acara 2). Sababaraha malware tiasa spoof tanggal nyiptakeun file pikeun nyumputkeun tina laporan file anu nembe dijieun.
Ngamuat supir sareng perpustakaan dinamis (ID acara 6-7). Ngawaskeun ngamuat DLL sareng supir alat kana mémori, mariksa tanda tangan digital sareng validitasna.
Jieun thread dina prosés ngajalankeun (ID acara 8). Salah sahiji jinis serangan anu ogé kedah diawaskeun.
RawAccessRead Kajadian (Acara ID 9). Operasi maca disk nganggo ".". Dina kalolobaan kasus, kagiatan sapertos kedah dianggap abnormal.
Jieun aliran file ngaranna (ID acara 15). Hiji kajadian diasupkeun nalika aliran file ngaranna dijieun nu emits kajadian kalawan hash tina eusi file urang.
Nyiptakeun pipa sareng sambungan anu namina (ID acara 17-18). Nyukcruk kode jahat anu komunikasi sareng komponén séjén ngaliwatan pipa ngaranna.
aktivitas WMI (kajadian ID 19). Pendaptaran kajadian anu dihasilkeun nalika ngakses sistem via protokol WMI.
Pikeun ngajaga Sysmon sorangan, anjeun kudu ngawas acara kalawan ID 4 (Sysmon stopping tur dimimitian) jeung ID 16 (parobahan konfigurasi Sysmon).
Kakuatan Shell Log
Power Shell mangrupikeun alat anu kuat pikeun ngatur infrastruktur Windows, janten kamungkinan ageung yén panyerang bakal milih éta. Aya dua sumber nu bisa Anjeun pake pikeun meunangkeun data acara Power Shell: Windows PowerShell log jeung Microsoft-WindowsPowerShell/Operational log.
Log Windows PowerShell
Panyadia data dimuat (ID acara 600). Panyadia PowerShell nyaéta program nu nyadiakeun sumber data pikeun PowerShell pikeun nempo jeung ngatur. Salaku conto, panyadia anu diwangun tiasa janten variabel lingkungan Windows atanapi pendaptaran sistem. Munculna suppliers anyar kudu diawaskeun dina urutan pikeun ngadeteksi aktivitas jahat dina waktu. Contona, upami anjeun ningali WSMan muncul di antara panyadia, teras sési PowerShell jauh parantos dimimitian.
Microsoft-WindowsPowerShell / Log Operasional (atanapi MicrosoftWindows-PowerShellCore / Operasional dina PowerShell 6)
logging modul (kajadian ID 4103). Acara nyimpen inpormasi ngeunaan unggal paréntah anu dieksekusi sareng parameter anu disebutna.
Script blocking logging (ID acara 4104). logging blocking skrip nembongkeun unggal blok kode PowerShell dieksekusi. Sanaos panyerang nyobian nyumputkeun paréntah, jinis acara ieu bakal nunjukkeun paréntah PowerShell anu leres-leres dieksekusi. jenis acara ieu ogé bisa asup sababaraha low-tingkat panggero API keur dilakukeun, kajadian ieu biasana dirékam salaku Verbose, tapi lamun paréntah curiga atawa Aksara dipaké dina blok kode, eta bakal asup salaku severity Awas.
Punten dicatet yén nalika alat dikonpigurasi pikeun ngumpulkeun sareng nganalisis kajadian ieu, waktos debugging tambahan bakal diperyogikeun pikeun ngirangan jumlah positip palsu.
Nyaritakeun kami dina koméntar naon log anu anjeun kumpulkeun pikeun pamariksaan kaamanan inpormasi sareng alat naon anu anjeun anggo pikeun ieu. Salah sahiji daérah fokus kami nyaéta solusi pikeun ngaudit acara kaamanan inpormasi. Pikeun ngajawab masalah ngumpulkeun jeung nganalisis log, urang tiasa nyarankeun nyandak katingal ngadeukeutan di , anu tiasa ngompres data anu disimpen kalayan rasio 20: 1, sareng hiji conto anu dipasang tiasa ngolah dugi ka 60000 acara per detik tina 10000 sumber.
sumber: www.habr.com