Tulisan ieu mangrupikeun bagian mimiti séri ngeunaan analisis ancaman Sysmon. Sadaya bagian séjén séri:
Bagian 1: Bubuka pikeun Sysmon Log Analisis (urang di dieu)
Bagian 2: Ngagunakeun Data Acara Sysmon pikeun Ngidentipikasi Ancaman
Bagian 3. Analisis jero ngeunaan ancaman Sysmon nganggo grafik
Upami anjeun damel di kaamanan inpormasi, anjeun sigana sering kedah ngartos serangan anu lumangsung. Upami anjeun parantos gaduh panon anu terlatih, anjeun tiasa milarian kagiatan non-standar dina log "atah" anu teu diolah - sebutkeun, skrip PowerShell jalan.
Hoyong ngartos ide dasar di balik ancaman anu dipidangkeun dina log Sysmon? Unduh pituduh kami
Dina bagian mimiti séri kami, urang bakal ningali naon anu anjeun tiasa laksanakeun sareng inpormasi dasar tina Sysmon. Dina Bagian XNUMX, urang bakal ngamangpaatkeun pinuh inpormasi prosés indungna pikeun nyiptakeun struktur patuh anu langkung kompleks anu katelah grafik ancaman. Dina bagian katilu, urang bakal kasampak di algoritma basajan nu nyeken grafik anceman pikeun neangan aktivitas mahiwal ku analisa "beurat" grafik. Sareng dina tungtungna, anjeun bakal diganjar ku metode deteksi ancaman probabilistik anu rapih (sareng kaharti).
Bagian 1: Bubuka pikeun Sysmon Log Analisis
Naon anu tiasa ngabantosan anjeun ngartos pajeulitna log acara? Pamustunganana - SIEM. Ieu normalizes kajadian jeung simplifies analisis saterusna maranéhanana. Tapi urang teu kudu indit jauh, sahenteuna henteu mimitina. Dina awalna, pikeun ngartos prinsip SIEM, éta bakal cekap pikeun nyobian utilitas Sysmon gratis anu saé. Sareng anjeunna heran gampang dianggo. Teruskeun, Microsoft!
Naon fitur anu Sysmon gaduh?
Pondokna - informasi mangpaat tur bisa dibaca ngeunaan prosés (tingali gambar di handap). Anjeun bakal mendakan seueur inpormasi anu mangpaat anu henteu aya dina Log Acara Windows, tapi anu paling penting nyaéta widang ieu:
- ID Prosés (dina decimal, sanes hex!)
- ID prosés kolot
- Garis paréntah prosés
- Garis paréntah tina prosés indungna
- Hash gambar file
- Ngaran gambar file
Sysmon dipasang duanana salaku supir alat sareng salaku jasa - langkung rinci
Sysmon nyandak kabisat kuantum ka hareup ku nyayogikeun inpormasi anu mangpaat (atanapi sapertos anu didamel ku padagang, tiasa dilaksanakeun) pikeun ngabantosan prosés anu aya dina dasarna. Contona, kuring ngamimitian sési rusiah
Log Windows nunjukkeun sababaraha inpormasi ngeunaan prosésna, tapi éta sakedik dianggo. Ditambah prosés ID dina heksadesimal???
Pikeun profésional IT profésional sareng pamahaman dasar-dasar hacking, garis paréntah kedah curiga. Nganggo cmd.exe teras ngajalankeun paréntah anu sanés sareng alihan kaluaran kana file anu nami anéh jelas sami sareng tindakan ngawaskeun sareng ngontrol parangkat lunak.
Ayeuna hayu urang tingali dina éntri Sysmon sarimbag, perhatikeun sabaraha inpormasi tambahan anu dipasihkeun ka urang:
Fitur Sysmon dina hiji layar: inpormasi lengkep ngeunaan prosés dina bentuk anu tiasa dibaca
Anjeun henteu ngan ukur ningali garis paréntah, tapi ogé nami file, jalur ka aplikasi anu tiasa dieksekusi, naon anu Windows terang ngeunaan éta ("Windows Command Processor"), identifier. kolot prosés, garis paréntah kolot, anu ngaluncurkeun cangkang cmd, ogé nami file nyata tina prosés indungna. Sagalana di hiji tempat, tungtungna!
Tina log Sysmon urang tiasa nyimpulkeun yén kalayan probabilitas anu luhur, garis paréntah anu curiga anu urang tingali dina log "atah" sanés hasil tina padamelan normal para karyawan. Sabalikna, éta dihasilkeun ku prosés C2-kawas - wmiexec, sakumaha kuring disebutkeun saméméhna - sarta ieu langsung spawned ku prosés layanan WMI (WmiPrvSe). Ayeuna urang gaduh indikator yén panyerang jauh atanapi insider nuju nguji infrastruktur perusahaan.
Ngawanohkeun Get-Sysmonlogs
Tangtu éta hébat nalika Sysmon nempatkeun log di hiji tempat. Tapi sigana bakal langkung saé upami urang tiasa ngaksés widang log individu sacara terprogram - contona, ngalangkungan paréntah PowerShell. Dina hal ieu, anjeun tiasa nyerat skrip PowerShell leutik anu bakal ngajadikeun otomatis milarian poténsi ancaman!
Abdi sanés anu munggaran gaduh ide sapertos kitu. Sareng éta saé dina sababaraha tulisan forum sareng GitHub
Titik penting kahiji nyaéta kamampuan tim
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Lamun hayang nguji paréntah sorangan, ku mintonkeun eusi dina unsur kahiji tina $events array, $events[0].Pesen, output bisa jadi runtuyan string téks kalawan format basajan pisan: ngaran widang Sysmon, titik hiji, lajeng nilai sorangan.
Horeeee! Outputting Sysmon log kana format JSON-siap
Naha anjeun mikiran hal anu sami sareng kuring? Kalayan usaha sakedik deui, anjeun tiasa ngarobih kaluaran kana senar anu diformat JSON teras ngamuat langsung kana objék PS nganggo paréntah anu kuat.
Kuring bakal nunjukkeun kodeu PowerShell pikeun konvérsi - éta saderhana pisan - dina bagian salajengna. Pikeun ayeuna mah, hayu urang tingali naon paréntah anyar kuring disebut get-sysmonlogs, nu kuring dipasang salaku modul PS, tiasa ngalakukeun.
Tinimbang nyilem jero kana analisis log Sysmon ngaliwatan antarmuka log acara anu teu merenah, urang tiasa sacara gampil milarian kagiatan incremental langsung tina sési PowerShell, ogé nganggo paréntah PS.
Daptar cangkang cmd diluncurkeun via WMI. Analisis Ancaman dina Murah sareng Tim Get-Sysmonlogs Urang Sendiri
Hebat! Kuring nyieun alat pikeun polling log Sysmon saolah-olah éta database. Dina artikel kami ngeunaan
Sysmon jeung analisis grafik
Hayu urang mundur sareng pikirkeun naon anu urang ciptakeun. Intina, urang ayeuna gaduh database acara Windows anu tiasa diaksés ngalangkungan PowerShell. Salaku I nyatet saméméhna, aya sambungan atawa hubungan antara rékaman - via ParentProcessId - jadi hiji hirarki lengkep prosés bisa didapet.
Lamun geus maca séri
Tapi kalayan paréntah Get-Sysmonlogs kuring sareng struktur data tambahan anu bakal urang tingali dina téks (dina grafik, tangtosna), urang gaduh cara praktis pikeun ngadeteksi ancaman - anu ngan ukur peryogi milarian vertex anu leres.
Sapertos biasa sareng proyék blog DYI kami, langkung seueur anjeun damel dina nganalisa detil ancaman dina skala leutik, langkung anjeun bakal sadar kumaha kompleks deteksi ancaman dina tingkat perusahaan. Sareng kasadaran ieu pisan titik penting.
Kami bakal mendakan komplikasi anu pikaresepeun anu munggaran dina bagian kadua tulisan, dimana urang bakal ngamimitian nyambungkeun acara Sysmon saling kana struktur anu langkung kompleks.
sumber: www.habr.com