Kutolewa kwa toleo la 12 la Sysmon lilitangazwa mnamo Septemba 17 saa . Kwa kweli, matoleo mapya ya Process Monitor na ProcDump pia yalitolewa siku hii. Katika makala hii nitazungumza juu ya uvumbuzi muhimu na wenye utata wa toleo la 12 la Sysmon - aina ya matukio na Kitambulisho cha Tukio 24, ambacho kazi na ubao wa clipboard imeingia.
Taarifa kutoka kwa aina hii ya tukio hufungua fursa mpya za kufuatilia shughuli zinazotiliwa shaka (pamoja na udhaifu mpya). Kwa hiyo, unaweza kuelewa ni nani, wapi na nini hasa walijaribu kunakili. Chini ya kata ni maelezo ya baadhi ya nyanja za tukio jipya na baadhi ya matukio ya matumizi.
Tukio jipya lina nyuga zifuatazo:
Image: mchakato ambao data iliandikwa kwenye ubao wa kunakili.
Kipindi: kipindi ambacho ubao wa kunakili uliandikwa. Inaweza kuwa mfumo(0)
wakati wa kufanya kazi mtandaoni au kwa mbali, nk.
MtejaInfo: ina jina la mtumiaji la kipindi na, katika kesi ya kipindi cha mbali, jina la mwenyeji asili na anwani ya IP, ikiwa inapatikana.
Heshi: huamua jina la faili ambayo maandishi yaliyonakiliwa yalihifadhiwa (sawa na kufanya kazi na matukio ya aina ya FileDelete).
Imehifadhiwa: hali, kama maandishi kutoka kwenye ubao wa kunakili yalihifadhiwa katika saraka ya kumbukumbu ya Sysmon.
Sehemu kadhaa za mwisho zinatisha. Ukweli ni kwamba tangu toleo la 11 Sysmon linaweza (na mipangilio inayofaa) kuhifadhi data mbalimbali kwenye saraka yake ya kumbukumbu. Kwa mfano, Kitambulisho cha Tukio 23 huweka matukio ya kufuta faili na inaweza kuyahifadhi yote katika saraka sawa ya kumbukumbu. Lebo ya CLIP huongezwa kwa jina la faili zilizoundwa kama matokeo ya kufanya kazi na ubao wa kunakili. Faili zenyewe zina data kamili ambayo ilinakiliwa kwenye ubao wa kunakili.
Hivi ndivyo faili iliyohifadhiwa inavyoonekana
Kuhifadhi kwenye faili kumewezeshwa wakati wa usakinishaji. Unaweza kuweka orodha nyeupe za michakato ambayo maandishi hayatahifadhiwa.
Hivi ndivyo usakinishaji wa Sysmon unavyoonekana na mipangilio sahihi ya saraka ya kumbukumbu:
Hapa, nadhani, inafaa kukumbuka wasimamizi wa nenosiri ambao pia hutumia ubao wa kunakili. Kuwa na Sysmon kwenye mfumo wenye kidhibiti cha nenosiri kutakuruhusu (au mvamizi) kunasa manenosiri hayo. Kwa kudhani kuwa unajua ni mchakato gani unaogawa maandishi yaliyonakiliwa (na hii sio mchakato wa meneja wa nenosiri kila wakati, lakini labda svchost fulani), ubaguzi huu unaweza kuongezwa kwenye orodha nyeupe na usihifadhiwe.
Huenda usijue, lakini maandishi kutoka kwenye ubao wa kunakili yananaswa na seva ya mbali unapoibadilisha katika hali ya kikao cha RDP. Ikiwa una kitu kwenye ubao wako wa kunakili na ukibadilisha kati ya vipindi vya RDP, maelezo hayo yatasafiri nawe.
Wacha tufanye muhtasari wa uwezo wa Sysmon wa kufanya kazi na ubao wa kunakili.
Imerekebishwa:
- Nakala ya maandishi ya maandishi yaliyobandikwa kupitia RDP na ndani ya nchi;
- Nasa data kutoka kwa ubao wa kunakili kwa huduma/taratibu mbalimbali;
- Nakili/bandika maandishi kutoka/kwenye mashine pepe ya karibu, hata kama maandishi haya bado hayajabandikwa.
Haijarekodiwa:
- Kunakili/kubandika faili kutoka/kwa mashine pepe ya ndani;
- Nakili/bandika faili kupitia RDP
- Programu hasidi ambayo inateka nyara ubao wako wa kunakili huandika kwenye ubao wa kunakili pekee.
Licha ya utata wake, aina hii ya tukio itawawezesha kurejesha algorithm ya vitendo vya mshambuliaji na kusaidia kutambua data isiyoweza kufikiwa hapo awali kwa ajili ya kuundwa kwa postmortems baada ya mashambulizi. Ikiwa uandishi wa maudhui kwenye ubao wa kunakili bado umewezeshwa, ni muhimu kurekodi kila ufikiaji wa saraka ya kumbukumbu na kutambua zinazoweza kuwa hatari (hazijaanzishwa na sysmon.exe).
Ili kurekodi, kuchambua na kujibu matukio yaliyoorodheshwa hapo juu, unaweza kutumia zana , ambayo inachanganya mbinu zote tatu na, kwa kuongeza, ni hifadhi bora ya kati ya data zote mbichi zilizokusanywa. Tunaweza kusanidi ujumuishaji wake na mifumo maarufu ya SIEM ili kupunguza gharama ya utoaji leseni kwa kuhamisha uchakataji na uhifadhi wa data ghafi kwa InTrust.
Ili kujifunza zaidi kuhusu InTrust, soma makala zetu zilizopita au .
(makala maarufu)
Chanzo: mapenzi.com