புரோஹோஸ்டர் > Блог > நிர்வாகம் > விண்டோஸ் ஓஎஸ் அடிப்படையிலான பணிநிலையத்தின் பதிவுகளிலிருந்து என்ன பயனுள்ளதாக இருக்கும்

விண்டோஸ் ஓஎஸ் அடிப்படையிலான பணிநிலையத்தின் பதிவுகளிலிருந்து என்ன பயனுள்ளதாக இருக்கும்

தகவல் பாதுகாப்பின் அடிப்படையில் உள்கட்டமைப்பில் பயனர் பணிநிலையம் மிகவும் பாதிக்கப்படக்கூடிய புள்ளியாகும். பயனர்கள் தங்கள் பணி மின்னஞ்சலுக்கு பாதுகாப்பான மூலத்திலிருந்து வந்ததாகத் தோன்றும் கடிதத்தைப் பெறலாம், ஆனால் பாதிக்கப்பட்ட தளத்திற்கான இணைப்புடன். அறியப்படாத இடத்திலிருந்து வேலைக்குப் பயன்படும் ஒரு பயன்பாட்டை யாராவது பதிவிறக்கம் செய்யலாம். ஆம், பயனர்கள் மூலம் உள்ளக கார்ப்பரேட் வளங்களில் தீம்பொருள் எவ்வாறு ஊடுருவலாம் என்பது பற்றிய டஜன் கணக்கான நிகழ்வுகளை நீங்கள் கொண்டு வரலாம். எனவே, பணிநிலையங்களுக்கு அதிக கவனம் தேவை, இந்த கட்டுரையில் தாக்குதல்களை கண்காணிக்க எங்கு, என்ன நிகழ்வுகளை எடுக்க வேண்டும் என்பதை நாங்கள் உங்களுக்கு கூறுவோம்.

விண்டோஸ் ஓஎஸ் அடிப்படையிலான பணிநிலையத்தின் பதிவுகளிலிருந்து என்ன பயனுள்ளதாக இருக்கும்

சாத்தியமான ஆரம்ப கட்டத்தில் தாக்குதலைக் கண்டறிய, விண்டோஸ் மூன்று பயனுள்ள நிகழ்வு ஆதாரங்களைக் கொண்டுள்ளது: பாதுகாப்பு நிகழ்வு பதிவு, கணினி கண்காணிப்பு பதிவு மற்றும் பவர் ஷெல் பதிவுகள்.

பாதுகாப்பு நிகழ்வு பதிவு

கணினி பாதுகாப்பு பதிவுகளுக்கான முக்கிய சேமிப்பக இடம் இதுவாகும். பயனர் உள்நுழைவு/வெளியேறும் நிகழ்வுகள், பொருள்களுக்கான அணுகல், கொள்கை மாற்றங்கள் மற்றும் பாதுகாப்பு தொடர்பான பிற செயல்பாடுகள் இதில் அடங்கும். நிச்சயமாக, பொருத்தமான கொள்கை கட்டமைக்கப்பட்டிருந்தால்.

விண்டோஸ் ஓஎஸ் அடிப்படையிலான பணிநிலையத்தின் பதிவுகளிலிருந்து என்ன பயனுள்ளதாக இருக்கும்

பயனர்கள் மற்றும் குழுக்களின் எண்ணிக்கை (நிகழ்வுகள் 4798 மற்றும் 4799). தாக்குதலின் ஆரம்பத்திலேயே, தீம்பொருள் அதன் நிழலான பரிவர்த்தனைகளுக்கான நற்சான்றிதழ்களைக் கண்டறிய உள்ளூர் பயனர் கணக்குகள் மற்றும் பணிநிலையத்தில் உள்ள உள்ளூர் குழுக்களின் மூலம் அடிக்கடி தேடுகிறது. இந்த நிகழ்வுகள் தீங்கிழைக்கும் குறியீட்டை நகர்த்துவதற்கு முன்பு கண்டறிய உதவும், மேலும் சேகரிக்கப்பட்ட தரவைப் பயன்படுத்தி, பிற அமைப்புகளுக்கு பரவும்.

உள்ளூர் கணக்கை உருவாக்குதல் மற்றும் உள்ளூர் குழுக்களில் மாற்றங்கள் (நிகழ்வுகள் 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 மற்றும் 5377). எடுத்துக்காட்டாக, உள்ளூர் நிர்வாகிகள் குழுவில் ஒரு புதிய பயனரைச் சேர்ப்பதன் மூலம் தாக்குதல் தொடங்கலாம்.

உள்ளூர் கணக்கு மூலம் உள்நுழைய முயற்சிகள் (நிகழ்வு 4624). மரியாதைக்குரிய பயனர்கள் ஒரு டொமைன் கணக்கில் உள்நுழைகிறார்கள், மேலும் உள்ளூர் கணக்கின் கீழ் உள்நுழைவை அடையாளம் காண்பது தாக்குதலின் தொடக்கத்தைக் குறிக்கும். நிகழ்வு 4624 டொமைன் கணக்கின் கீழ் உள்நுழைவுகளையும் உள்ளடக்கியது, எனவே நிகழ்வுகளைச் செயலாக்கும்போது, ​​டொமைன் பணிநிலையப் பெயரிலிருந்து வேறுபட்ட நிகழ்வுகளை வடிகட்ட வேண்டும்.

குறிப்பிட்ட கணக்கில் உள்நுழைவதற்கான முயற்சி (நிகழ்வு 4648). செயல்முறை "இவ்வாறு இயக்கு" முறையில் இயங்கும் போது இது நிகழ்கிறது. அமைப்புகளின் இயல்பான செயல்பாட்டின் போது இது நடக்கக்கூடாது, எனவே இதுபோன்ற நிகழ்வுகள் கட்டுப்படுத்தப்பட வேண்டும்.

பணிநிலையத்தை பூட்டுதல்/திறத்தல் (நிகழ்வுகள் 4800-4803). சந்தேகத்திற்கிடமான நிகழ்வுகளின் வகையானது பூட்டப்பட்ட பணிநிலையத்தில் நிகழ்ந்த செயல்களை உள்ளடக்கியது.

ஃபயர்வால் கட்டமைப்பு மாற்றங்கள் (நிகழ்வுகள் 4944-4958). வெளிப்படையாக, புதிய மென்பொருளை நிறுவும் போது, ​​ஃபயர்வால் உள்ளமைவு அமைப்புகள் மாறக்கூடும், இது தவறான நேர்மறைகளை ஏற்படுத்தும். பெரும்பாலான சந்தர்ப்பங்களில், அத்தகைய மாற்றங்களைக் கட்டுப்படுத்த வேண்டிய அவசியமில்லை, ஆனால் அவற்றைப் பற்றி தெரிந்துகொள்வது நிச்சயமாக வலிக்காது.

Plug'n'play சாதனங்களை இணைக்கிறது (நிகழ்வு 6416 மற்றும் WIndows 10 க்கு மட்டும்). பயனர்கள் வழக்கமாக புதிய சாதனங்களை பணிநிலையத்துடன் இணைக்கவில்லை, ஆனால் திடீரென்று அவர்கள் அதைச் செய்தால் இதைக் கண்காணிக்க வேண்டியது அவசியம்.

விண்டோஸில் 9 தணிக்கை பிரிவுகள் மற்றும் 50 துணைப்பிரிவுகள் நுணுக்கமாகச் சரிப்படுத்தும். அமைப்புகளில் இயக்கப்பட வேண்டிய குறைந்தபட்ச துணைப்பிரிவுகள்:

உள்நுழைவு/வெளியேற்றம்

  • உள் நுழை;
  • லாகாஃப்;
  • கணக்கு பூட்டுதல்;
  • பிற உள்நுழைவு/வெளியேற்ற நிகழ்வுகள்.

கணக்கு மேலாண்மை

  • பயனர் கணக்கு மேலாண்மை;
  • பாதுகாப்பு குழு மேலாண்மை.

கொள்கை மாற்றம்

  • தணிக்கை கொள்கை மாற்றம்;
  • அங்கீகாரக் கொள்கை மாற்றம்;
  • அங்கீகார கொள்கை மாற்றம்.

சிஸ்டம் மானிட்டர் (Sysmon)

சிஸ்மன் என்பது விண்டோஸில் கட்டமைக்கப்பட்ட ஒரு பயன்பாடாகும், இது கணினி பதிவில் நிகழ்வுகளை பதிவு செய்ய முடியும். வழக்கமாக நீங்கள் அதை தனித்தனியாக நிறுவ வேண்டும்.

விண்டோஸ் ஓஎஸ் அடிப்படையிலான பணிநிலையத்தின் பதிவுகளிலிருந்து என்ன பயனுள்ளதாக இருக்கும்

இதே நிகழ்வுகள், கொள்கையளவில், பாதுகாப்புப் பதிவில் (விரும்பிய தணிக்கைக் கொள்கையை இயக்குவதன் மூலம்) காணலாம், ஆனால் Sysmon மேலும் விவரங்களை வழங்குகிறது. Sysmon இலிருந்து என்ன நிகழ்வுகளை எடுக்கலாம்?

செயல்முறை உருவாக்கம் (நிகழ்வு ஐடி 1). ஒரு *.exe எப்போது தொடங்கியது மற்றும் அதன் பெயர் மற்றும் துவக்க பாதையை கூட கணினி பாதுகாப்பு நிகழ்வு பதிவு உங்களுக்கு தெரிவிக்கும். ஆனால் Sysmon போலல்லாமல், இது பயன்பாட்டு ஹாஷைக் காட்ட முடியாது. தீங்கிழைக்கும் மென்பொருளை பாதிப்பில்லாத notepad.exe என்று கூட அழைக்கலாம், ஆனால் ஹாஷ் தான் அதை வெளிச்சத்திற்கு கொண்டு வரும்.

நெட்வொர்க் இணைப்புகள் (நிகழ்வு ஐடி 3). வெளிப்படையாக, நிறைய பிணைய இணைப்புகள் உள்ளன, மேலும் அவை அனைத்தையும் கண்காணிப்பது சாத்தியமில்லை. ஆனால் Sysmon, அதே பாதுகாப்புப் பதிவைப் போலன்றி, ProcessID மற்றும் ProcessGUID புலங்களுடன் பிணைய இணைப்பை இணைக்க முடியும், மேலும் மூல மற்றும் இலக்கின் போர்ட் மற்றும் IP முகவரிகளைக் காண்பிக்கும்.

கணினி பதிவேட்டில் மாற்றங்கள் (நிகழ்வு ஐடி 12-14). பதிவேட்டில் பதிவு செய்வதே ஆட்டோரனில் உங்களைச் சேர்ப்பதற்கான எளிதான வழி. பாதுகாப்புப் பதிவு இதைச் செய்ய முடியும், ஆனால் சிஸ்மோன் யார் மாற்றங்களைச் செய்தார்கள், எப்போது, ​​எங்கிருந்து, செயல்முறை ஐடி மற்றும் முந்தைய முக்கிய மதிப்பைக் காட்டுகிறது.

கோப்பு உருவாக்கம் (நிகழ்வு ஐடி 11). Sysmon, பாதுகாப்பு பதிவு போலல்லாமல், கோப்பின் இருப்பிடத்தை மட்டுமல்ல, அதன் பெயரையும் காண்பிக்கும். நீங்கள் எல்லாவற்றையும் கண்காணிக்க முடியாது என்பது தெளிவாகிறது, ஆனால் நீங்கள் சில கோப்பகங்களை தணிக்கை செய்யலாம்.

இப்போது பாதுகாப்பு பதிவுக் கொள்கைகளில் இல்லாதது, சிஸ்மோனில் உள்ளது:

கோப்பு உருவாக்கும் நேர மாற்றம் (நிகழ்வு ஐடி 2). சில தீம்பொருள்கள், சமீபத்தில் உருவாக்கப்பட்ட கோப்புகளின் அறிக்கைகளிலிருந்து அதை மறைக்க ஒரு கோப்பை உருவாக்கிய தேதியை ஏமாற்றலாம்.

இயக்கிகள் மற்றும் டைனமிக் லைப்ரரிகளை ஏற்றுகிறது (நிகழ்வு ஐடிகள் 6-7). DLLகள் மற்றும் சாதன இயக்கிகள் நினைவகத்தில் ஏற்றப்படுவதைக் கண்காணித்தல், டிஜிட்டல் கையொப்பம் மற்றும் அதன் செல்லுபடியை சரிபார்த்தல்.

இயங்கும் செயல்பாட்டில் ஒரு நூலை உருவாக்கவும் (நிகழ்வு ஐடி 8). ஒரு வகை தாக்குதலும் கண்காணிக்கப்பட வேண்டும்.

RawAccessRead நிகழ்வுகள் (நிகழ்வு ஐடி 9). "" ஐப் பயன்படுத்தி வட்டு வாசிப்பு செயல்பாடுகள். பெரும்பாலான சந்தர்ப்பங்களில், இத்தகைய செயல்பாடு அசாதாரணமாக கருதப்பட வேண்டும்.

பெயரிடப்பட்ட கோப்பு ஸ்ட்ரீமை உருவாக்கவும் (நிகழ்வு ஐடி 15). பெயரிடப்பட்ட கோப்பு ஸ்ட்ரீம் உருவாக்கப்படும் போது ஒரு நிகழ்வு பதிவு செய்யப்படுகிறது, அது கோப்பின் உள்ளடக்கங்களின் ஹாஷ் மூலம் நிகழ்வுகளை வெளியிடுகிறது.

பெயரிடப்பட்ட குழாய் மற்றும் இணைப்பை உருவாக்குதல் (நிகழ்வு ஐடி 17-18). பெயரிடப்பட்ட குழாய் மூலம் பிற கூறுகளுடன் தொடர்பு கொள்ளும் தீங்கிழைக்கும் குறியீட்டைக் கண்காணித்தல்.

WMI செயல்பாடு (நிகழ்வு ஐடி 19). WMI நெறிமுறை வழியாக கணினியை அணுகும்போது உருவாக்கப்படும் நிகழ்வுகளின் பதிவு.

Sysmon ஐப் பாதுகாக்க, நீங்கள் ID 4 (Sysmon நிறுத்துதல் மற்றும் தொடங்குதல்) மற்றும் ID 16 (Sysmon உள்ளமைவு மாற்றங்கள்) மூலம் நிகழ்வுகளைக் கண்காணிக்க வேண்டும்.

பவர் ஷெல் பதிவுகள்

பவர் ஷெல் என்பது விண்டோஸ் உள்கட்டமைப்பை நிர்வகிப்பதற்கான ஒரு சக்திவாய்ந்த கருவியாகும், எனவே தாக்குபவர் அதைத் தேர்ந்தெடுப்பதற்கான வாய்ப்புகள் அதிகம். பவர் ஷெல் நிகழ்வுத் தரவைப் பெற நீங்கள் பயன்படுத்தக்கூடிய இரண்டு ஆதாரங்கள் உள்ளன: Windows PowerShell பதிவு மற்றும் Microsoft-WindowsPowerShell/Operational log.

விண்டோஸ் பவர்ஷெல் பதிவு

விண்டோஸ் ஓஎஸ் அடிப்படையிலான பணிநிலையத்தின் பதிவுகளிலிருந்து என்ன பயனுள்ளதாக இருக்கும்

தரவு வழங்குநர் ஏற்றப்பட்டது (நிகழ்வு ஐடி 600). பவர்ஷெல் வழங்குநர்கள் என்பது பவர்ஷெல் பார்க்கவும் நிர்வகிக்கவும் தரவு ஆதாரத்தை வழங்கும் நிரல்களாகும். எடுத்துக்காட்டாக, உள்ளமைக்கப்பட்ட வழங்குநர்கள் விண்டோஸ் சூழல் மாறிகள் அல்லது கணினி பதிவேட்டில் இருக்கலாம். தீங்கிழைக்கும் செயல்பாட்டை சரியான நேரத்தில் கண்டறிய புதிய சப்ளையர்களின் தோற்றம் கண்காணிக்கப்பட வேண்டும். எடுத்துக்காட்டாக, வழங்குநர்களிடையே WSMan தோன்றுவதை நீங்கள் கண்டால், தொலைநிலை PowerShell அமர்வு தொடங்கப்பட்டது.

Microsoft-WindowsPowerShell / செயல்பாட்டு பதிவு (அல்லது MicrosoftWindows-PowerShellCore / PowerShell 6 இல் செயல்படும்)

விண்டோஸ் ஓஎஸ் அடிப்படையிலான பணிநிலையத்தின் பதிவுகளிலிருந்து என்ன பயனுள்ளதாக இருக்கும்

தொகுதி பதிவு (நிகழ்வு ஐடி 4103). ஒவ்வொரு செயல்படுத்தப்பட்ட கட்டளை மற்றும் அது அழைக்கப்பட்ட அளவுருக்கள் பற்றிய தகவல்களை நிகழ்வுகள் சேமிக்கின்றன.

ஸ்கிரிப்ட் பிளாக்கிங் லாக்கிங் (நிகழ்வு ஐடி 4104). ஸ்கிரிப்ட் பிளாக்கிங் லாக்கிங் பவர்ஷெல் குறியீடு செயல்படுத்தப்பட்ட ஒவ்வொரு தொகுதியையும் காட்டுகிறது. தாக்குபவர் கட்டளையை மறைக்க முயன்றாலும், இந்த நிகழ்வு வகை உண்மையில் செயல்படுத்தப்பட்ட பவர்ஷெல் கட்டளையைக் காண்பிக்கும். இந்த நிகழ்வு வகை சில குறைந்த-நிலை API அழைப்புகள் செய்யப்படுவதையும் பதிவு செய்யலாம், இந்த நிகழ்வுகள் பொதுவாக வெர்போஸாகப் பதிவுசெய்யப்படும், ஆனால் குறியீட்டின் தொகுதியில் சந்தேகத்திற்கிடமான கட்டளை அல்லது ஸ்கிரிப்ட் பயன்படுத்தப்பட்டால், அது எச்சரிக்கை தீவிரத்தன்மையாகப் பதிவுசெய்யப்படும்.

இந்த நிகழ்வுகளைச் சேகரிக்கவும் பகுப்பாய்வு செய்யவும் கருவி கட்டமைக்கப்பட்டவுடன், தவறான நேர்மறைகளின் எண்ணிக்கையைக் குறைக்க கூடுதல் பிழைத்திருத்த நேரம் தேவைப்படும் என்பதை நினைவில் கொள்ளவும்.

தகவல் பாதுகாப்பு தணிக்கைக்காக நீங்கள் சேகரிக்கும் பதிவுகள் மற்றும் இதற்கு என்ன கருவிகளைப் பயன்படுத்துகிறீர்கள் என்பதை கருத்துக்களில் எங்களிடம் கூறுங்கள். தகவல் பாதுகாப்பு நிகழ்வுகளைத் தணிக்கை செய்வதற்கான தீர்வுகள் எங்கள் கவனம் செலுத்தும் பகுதிகளில் ஒன்றாகும். பதிவுகளை சேகரித்தல் மற்றும் பகுப்பாய்வு செய்வதில் உள்ள சிக்கலை தீர்க்க, ஒரு நெருக்கமான தோற்றத்தை எடுக்க பரிந்துரைக்கலாம் குவெஸ்ட் இன்ட்ரஸ்ட், இது சேமிக்கப்பட்ட தரவை 20:1 என்ற விகிதத்தில் சுருக்க முடியும், மேலும் ஒரு நிறுவப்பட்ட நிகழ்வு 60000 மூலங்களிலிருந்து வினாடிக்கு 10000 நிகழ்வுகள் வரை செயலாக்கும் திறன் கொண்டது.

ஆதாரம்: www.habr.com

கருத்தைச் சேர்