Kituo cha kazi cha mtumiaji ndio sehemu iliyo hatarini zaidi ya miundombinu katika suala la usalama wa habari. Watumiaji wanaweza kupokea barua kwa barua pepe zao za kazini ambayo inaonekana kutoka kwa chanzo salama, lakini yenye kiungo cha tovuti iliyoambukizwa. Labda mtu atapakua matumizi muhimu kwa kazi kutoka eneo lisilojulikana. Ndiyo, unaweza kupata matukio kadhaa ya jinsi programu hasidi inaweza kupenyeza rasilimali za shirika la ndani kupitia watumiaji. Kwa hiyo, vituo vya kazi vinahitaji tahadhari zaidi, na katika makala hii tutakuambia wapi na matukio gani ya kuchukua ili kufuatilia mashambulizi.
Ili kugundua shambulio mapema iwezekanavyo, WIndows ina vyanzo vitatu muhimu vya matukio: Rekodi ya Tukio la Usalama, Rekodi ya Kufuatilia Mfumo na Kumbukumbu za Shell ya Nguvu.
Kumbukumbu ya Tukio la Usalama
Hili ndilo eneo kuu la kuhifadhi kumbukumbu za usalama wa mfumo. Hii ni pamoja na matukio ya mtumiaji kuingia/kutoka, ufikiaji wa vitu, mabadiliko ya sera na shughuli zingine zinazohusiana na usalama. Bila shaka, ikiwa sera inayofaa imesanidiwa.
Uhesabuji wa watumiaji na vikundi (matukio 4798 na 4799). Mwanzoni kabisa mwa shambulio, programu hasidi mara nyingi hutafuta akaunti za watumiaji wa karibu na vikundi vya karibu kwenye kituo cha kazi ili kupata kitambulisho cha shughuli zake zisizofaa. Matukio haya yatasaidia kugundua msimbo hasidi kabla ya kuendelea na, kwa kutumia data iliyokusanywa, kuenea kwa mifumo mingine.
Uundaji wa akaunti ya ndani na mabadiliko katika vikundi vya ndani (matukio 4720, 4722β4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 na 5377). Mashambulizi yanaweza pia kuanza, kwa mfano, kwa kuongeza mtumiaji mpya kwenye kikundi cha wasimamizi wa ndani.
Majaribio ya kuingia na akaunti ya ndani (tukio 4624). Watumiaji wanaoheshimika huingia na akaunti ya kikoa, na kutambua kuingia chini ya akaunti ya ndani kunaweza kumaanisha kuanza kwa shambulio. Tukio 4624 pia linajumuisha kuingia chini ya akaunti ya kikoa, hivyo wakati wa usindikaji wa matukio, unahitaji kuchuja matukio ambapo kikoa ni tofauti na jina la kituo cha kazi.
Jaribio la kuingia na akaunti maalum (tukio 4648). Hii hutokea wakati mchakato unaendelea katika hali ya "run kama". Hii haipaswi kutokea wakati wa uendeshaji wa kawaida wa mifumo, hivyo matukio hayo lazima yadhibitiwe.
Kufunga/kufungua kituo cha kazi (matukio 4800-4803). Aina ya matukio ya kutiliwa shaka inajumuisha vitendo vyovyote vilivyotokea kwenye kituo cha kazi kilichofungwa.
Mabadiliko ya usanidi wa Firewall (matukio 4944-4958). Kwa wazi, wakati wa kufunga programu mpya, mipangilio ya usanidi wa firewall inaweza kubadilika, ambayo itasababisha chanya za uwongo. Katika hali nyingi, hakuna haja ya kudhibiti mabadiliko kama haya, lakini hakika haitaumiza kujua juu yao.
Inaunganisha vifaa vya Plug'n'play (tukio 6416 na kwa WIndows 10 pekee). Ni muhimu kuzingatia hili ikiwa watumiaji kwa kawaida hawaunganishi vifaa vipya kwenye kituo cha kazi, lakini ghafla hufanya hivyo.
Windows inajumuisha kategoria 9 za ukaguzi na vijamii 50 vya kurekebisha vizuri. Seti ya chini ya kategoria ndogo ambazo zinapaswa kuwezeshwa katika mipangilio:
Logon / Logof
- Ingia;
- Logoff;
- Kufungiwa kwa Akaunti;
- Matukio Mengine ya Kuingia/Kuingia.
Akaunti ya Usimamizi
- Usimamizi wa Akaunti ya Mtumiaji;
- Usimamizi wa Kikundi cha Usalama.
Mabadiliko ya Sera
- Mabadiliko ya Sera ya Ukaguzi;
- Mabadiliko ya Sera ya Uthibitishaji;
- Mabadiliko ya Sera ya Uidhinishaji.
Kichunguzi cha Mfumo (Sysmon)
Sysmon ni huduma iliyojengwa ndani ya Windows ambayo inaweza kurekodi matukio kwenye kumbukumbu ya mfumo. Kawaida unahitaji kuiweka tofauti.
Matukio haya haya yanaweza, kimsingi, kupatikana katika kumbukumbu ya usalama (kwa kuwezesha sera ya ukaguzi inayotakikana), lakini Sysmon inatoa maelezo zaidi. Ni matukio gani yanaweza kuchukuliwa kutoka kwa Sysmon?
Uundaji wa mchakato (Kitambulisho cha tukio 1). Kumbukumbu ya tukio la usalama la mfumo pia inaweza kukuambia wakati *.exe ilianza na hata kuonyesha jina lake na njia ya uzinduzi. Lakini tofauti na Sysmon, haitaweza kuonyesha heshi ya programu. Programu hasidi inaweza hata kuitwa notepad.exe isiyo na madhara, lakini ni heshi ambayo itaidhihirisha.
Miunganisho ya Mtandao (Kitambulisho cha Tukio 3). Kwa wazi, kuna miunganisho mingi ya mtandao, na haiwezekani kufuatilia yote. Lakini ni muhimu kuzingatia kwamba Sysmon, tofauti na Kumbukumbu ya Usalama, inaweza kuunganisha muunganisho wa mtandao kwenye sehemu za ProcessID na ProcessGUID, na inaonyesha bandari na anwani za IP za chanzo na lengwa.
Mabadiliko katika Usajili wa mfumo (kitambulisho cha tukio 12-14). Njia rahisi zaidi ya kujiongeza kwa autorun ni kujiandikisha kwenye Usajili. Kumbukumbu ya Usalama inaweza kufanya hivi, lakini Sysmon inaonyesha ni nani aliyefanya mabadiliko, lini, kutoka wapi, kitambulisho cha kuchakata na thamani ya ufunguo uliopita.
Uundaji wa faili (Kitambulisho cha tukio 11). Sysmon, tofauti na Ingia ya Usalama, haitaonyesha tu eneo la faili, lakini pia jina lake. Ni wazi kwamba huwezi kufuatilia kila kitu, lakini unaweza kukagua saraka fulani.
Na sasa kile ambacho hakiko katika sera za logi ya Usalama, lakini iko kwenye Sysmon:
Mabadiliko ya wakati wa kuunda faili (Kitambulisho cha 2 cha tukio). Baadhi ya programu hasidi zinaweza kuharibu tarehe ya kuunda faili ili kuificha kutoka kwa ripoti za faili zilizoundwa hivi majuzi.
Inapakia viendeshaji na maktaba zinazobadilika (Vitambulisho vya tukio 6-7). Kufuatilia upakiaji wa DLL na viendeshi vya kifaa kwenye kumbukumbu, kuangalia saini ya dijiti na uhalali wake.
Unda thread katika mchakato unaoendelea (Kitambulisho cha tukio 8). Aina moja ya mashambulizi ambayo pia inahitaji kufuatiliwa.
Matukio ya RawAccessRead (Kitambulisho cha Tukio 9). Shughuli za kusoma diski kwa kutumia ".". Katika hali nyingi, shughuli kama hiyo inapaswa kuzingatiwa kuwa isiyo ya kawaida.
Unda mtiririko wa faili uliopewa jina (Kitambulisho cha tukio 15). Tukio huwekwa wakati utiririshaji wa faili uliopewa jina unaundwa ambao hutoa matukio kwa heshi ya yaliyomo kwenye faili.
Kuunda bomba iliyopewa jina na unganisho (Kitambulisho cha tukio 17-18). Kufuatilia msimbo hasidi unaowasiliana na vipengele vingine kupitia bomba lililotajwa.
Shughuli ya WMI (Kitambulisho cha tukio 19). Usajili wa matukio ambayo yanazalishwa wakati wa kufikia mfumo kupitia itifaki ya WMI.
Ili kulinda Sysmon yenyewe, unahitaji kufuatilia matukio na ID 4 (Sysmon kuacha na kuanza) na ID 16 (mabadiliko ya usanidi wa Sysmon).
Kumbukumbu za Shell ya Nguvu
Power Shell ni zana yenye nguvu ya kudhibiti miundombinu ya Windows, kwa hivyo kuna uwezekano mkubwa kwamba mshambuliaji ataichagua. Kuna vyanzo viwili unavyoweza kutumia kupata data ya tukio la Power Shell: logi ya Windows PowerShell na Microsoft-WindowsPowerShell/logi ya Uendeshaji.
logi ya Windows PowerShell
Mtoa huduma wa data amepakiwa (Kitambulisho cha tukio 600). Watoa huduma za PowerShell ni programu zinazotoa chanzo cha data kwa PowerShell kutazama na kudhibiti. Kwa mfano, watoa huduma waliojengwa wanaweza kuwa vigezo vya mazingira ya Windows au sajili ya mfumo. Kuibuka kwa wasambazaji wapya lazima kufuatiliwa ili kugundua shughuli mbaya kwa wakati. Kwa mfano, ukiona WSMan ikitokea kati ya watoa huduma, basi kipindi cha mbali cha PowerShell kimeanzishwa.
Microsoft-WindowsPowerShell / logi ya Uendeshaji (au MicrosoftWindows-PowerShellCore / Inatumika katika PowerShell 6)
Kuweka kumbukumbu kwa moduli (Kitambulisho cha tukio 4103). Matukio huhifadhi habari kuhusu kila amri iliyotekelezwa na vigezo ambavyo iliitwa.
Uwekaji kumbukumbu wa kuzuia hati (Kitambulisho cha tukio 4104). Uwekaji kumbukumbu wa kuzuia hati huonyesha kila kizuizi cha msimbo wa PowerShell unaotekelezwa. Hata kama mshambuliaji atajaribu kuficha amri, aina hii ya tukio itaonyesha amri ya PowerShell ambayo kwa hakika ilitekelezwa. Aina hii ya tukio pia inaweza kuweka baadhi ya simu za API za kiwango cha chini zinazopigwa, matukio haya kwa kawaida hurekodiwa kama Verbose, lakini ikiwa amri au hati inayotiliwa shaka itatumiwa kwenye kizuizi cha msimbo, itawekwa kumbukumbu kama Ukali wa Onyo.
Tafadhali kumbuka kuwa punde tu zana inapowekwa ili kukusanya na kuchanganua matukio haya, muda wa ziada wa utatuzi utahitajika ili kupunguza idadi ya chanya za uwongo.
Tuambie kwenye maoni ni kumbukumbu zipi unazokusanya kwa ukaguzi wa usalama wa taarifa na zana zipi unazotumia kwa hili. Mojawapo ya maeneo yetu ya kuzingatia ni suluhisho za kukagua matukio ya usalama wa habari. Ili kutatua tatizo la kukusanya na kuchambua magogo, tunaweza kupendekeza kuangalia kwa karibu , ambayo inaweza kubana data iliyohifadhiwa kwa uwiano wa 20:1, na mfano mmoja uliosakinishwa unaweza kushughulikia hadi matukio 60000 kwa sekunde kutoka kwa vyanzo 10000.
Chanzo: mapenzi.com