இந்த கட்டுரை Sysmon அச்சுறுத்தல் பகுப்பாய்வு தொடரின் முதல் பகுதியாகும். தொடரின் மற்ற அனைத்து பகுதிகளும்:
பகுதி 1: சிஸ்மோன் பதிவு பகுப்பாய்வு அறிமுகம் (நாங்கள் இங்கே இருக்கிறோம்)
பகுதி 2: அச்சுறுத்தல்களைக் கண்டறிய Sysmon நிகழ்வுத் தரவைப் பயன்படுத்துதல்
பகுதி 3. வரைபடங்களைப் பயன்படுத்தி Sysmon அச்சுறுத்தல்களின் ஆழமான பகுப்பாய்வு
நீங்கள் தகவல் பாதுகாப்பில் பணிபுரிந்தால், நீங்கள் அடிக்கடி நடக்கும் தாக்குதல்களைப் புரிந்து கொள்ள வேண்டும். உங்களிடம் ஏற்கனவே பயிற்சி பெற்ற கண் இருந்தால், "raw" செயலாக்கப்படாத பதிவுகளில் தரமற்ற செயல்பாட்டை நீங்கள் தேடலாம் - சொல்லுங்கள், PowerShell ஸ்கிரிப்ட் இயங்குகிறது
Sysmon பதிவில் காட்டப்படும் அச்சுறுத்தல்களுக்குப் பின்னால் உள்ள அடிப்படைக் கருத்துக்களைப் புரிந்து கொள்ள வேண்டுமா? எங்கள் வழிகாட்டியைப் பதிவிறக்கவும்
எங்கள் தொடரின் முதல் பகுதியில், Sysmon வழங்கும் அடிப்படைத் தகவல்களைக் கொண்டு நீங்கள் என்ன செய்யலாம் என்பதைப் பார்ப்போம். பகுதி XNUMX இல், அச்சுறுத்தல் வரைபடங்கள் எனப்படும் மிகவும் சிக்கலான இணக்கக் கட்டமைப்புகளை உருவாக்க, பெற்றோர் செயல்முறைத் தகவலை முழுமையாகப் பயன்படுத்துவோம். மூன்றாவது பகுதியில், வரைபடத்தின் "எடையை" பகுப்பாய்வு செய்வதன் மூலம் அசாதாரண செயல்பாட்டைத் தேட அச்சுறுத்தல் வரைபடத்தை ஸ்கேன் செய்யும் எளிய வழிமுறையைப் பார்ப்போம். இறுதியில், நீங்கள் ஒரு நேர்த்தியான (மற்றும் புரிந்துகொள்ளக்கூடிய) நிகழ்தகவு அச்சுறுத்தல் கண்டறிதல் முறையைப் பரிசாகப் பெறுவீர்கள்.
பகுதி 1: சிஸ்மோன் பதிவு பகுப்பாய்வு அறிமுகம்
நிகழ்வுப் பதிவின் சிக்கல்களைப் புரிந்துகொள்ள எது உதவும்? இறுதியில் - SIEM. இது நிகழ்வுகளை இயல்பாக்குகிறது மற்றும் அவற்றின் அடுத்தடுத்த பகுப்பாய்வை எளிதாக்குகிறது. ஆனால் நாம் அவ்வளவு தூரம் செல்ல வேண்டியதில்லை, குறைந்தபட்சம் முதலில் அல்ல. ஆரம்பத்தில், SIEM இன் கொள்கைகளைப் புரிந்து கொள்ள, அற்புதமான இலவச Sysmon பயன்பாட்டை முயற்சித்தால் போதும். அவளுடன் வேலை செய்வது வியக்கத்தக்க வகையில் எளிதானது. தொடருங்கள், மைக்ரோசாப்ட்!
Sysmon என்ன அம்சங்களைக் கொண்டுள்ளது?
சுருக்கமாக - செயல்முறைகளைப் பற்றிய பயனுள்ள மற்றும் படிக்கக்கூடிய தகவல்கள் (கீழே உள்ள படங்களைப் பார்க்கவும்). விண்டோஸ் நிகழ்வுப் பதிவில் இல்லாத பயனுள்ள விவரங்களைக் காணலாம், ஆனால் மிக முக்கியமானவை பின்வரும் புலங்கள்:
- செயல்முறை ஐடி (தசமத்தில், ஹெக்ஸ் அல்ல!)
- பெற்றோர் செயல்முறை ஐடி
- செயல்முறை கட்டளை வரி
- பெற்றோர் செயல்முறையின் கட்டளை வரி
- கோப்பு பட ஹாஷ்
- கோப்பு படத்தின் பெயர்கள்
Sysmon ஒரு சாதன இயக்கி மற்றும் ஒரு சேவை ஆகிய இரண்டிலும் நிறுவப்பட்டுள்ளது - மேலும் விவரங்கள்
சிஸ்மோன் ஒரு குவாண்டம் பாய்ச்சலை முன்னோக்கி எடுத்துச் செல்கிறது, இது அடிப்படையான செயல்முறைகளைப் புரிந்துகொள்ள உதவும் பயனுள்ள (அல்லது விற்பனையாளர்கள் சொல்ல விரும்புவது போல் செயல்படக்கூடியது) தகவல்களை வழங்குவதன் மூலம். உதாரணமாக, நான் ஒரு ரகசிய அமர்வை ஆரம்பித்தேன்
விண்டோஸ் பதிவு செயல்முறை பற்றிய சில தகவல்களைக் காட்டுகிறது, ஆனால் அது சிறிதளவு பயன் இல்லை. மேலும் செயல்முறை ஐடிகள் ஹெக்ஸாடெசிமலில் உள்ளதா???
ஹேக்கிங்கின் அடிப்படைகளைப் புரிந்து கொண்ட ஒரு தொழில்முறை IT நிபுணருக்கு, கட்டளை வரி சந்தேகத்திற்குரியதாக இருக்க வேண்டும். cmd.exe ஐப் பயன்படுத்தி மற்றொரு கட்டளையை இயக்கவும் மற்றும் வெளியீட்டை விசித்திரமான பெயருடன் ஒரு கோப்பிற்கு திருப்பி விடுவதும் கண்காணிப்பு மற்றும் கட்டுப்பாட்டு மென்பொருளின் செயல்களுக்கு ஒத்ததாகும்.
இப்போது சிஸ்மோன் நுழைவுச் சமமானதைப் பார்ப்போம், அது நமக்கு எவ்வளவு கூடுதல் தகவலை அளிக்கிறது என்பதைக் கவனிப்போம்:
ஒரு ஸ்கிரீன்ஷாட்டில் Sysmon அம்சங்கள்: படிக்கக்கூடிய வடிவத்தில் செயல்முறை பற்றிய விரிவான தகவல்
நீங்கள் கட்டளை வரியை மட்டும் பார்க்கவில்லை, ஆனால் கோப்பு பெயர், இயங்கக்கூடிய பயன்பாட்டிற்கான பாதை, விண்டோஸ் அதை பற்றி என்ன தெரியும் ("Windows கட்டளை செயலி"), அடையாளங்காட்டி பெற்றோர் செயல்முறை, கட்டளை வரி பெற்றோர், இது cmd ஷெல்லைத் துவக்கியது, அத்துடன் பெற்றோர் செயல்முறையின் உண்மையான கோப்பு பெயர். எல்லாம் ஒரே இடத்தில், இறுதியாக!
Sysmon பதிவில் இருந்து, அதிக அளவு நிகழ்தகவுடன், "மூல" பதிவுகளில் நாம் பார்த்த இந்த சந்தேகத்திற்கிடமான கட்டளை வரி ஊழியரின் இயல்பான வேலையின் விளைவாக இல்லை என்று முடிவு செய்யலாம். இதற்கு நேர்மாறாக, இது ஒரு C2-போன்ற செயல்முறையால் உருவாக்கப்பட்டது - wmiexec, நான் முன்பு குறிப்பிட்டது போல் - மற்றும் நேரடியாக WMI சேவை செயல்முறை (WmiPrvSe) மூலம் உருவாக்கப்பட்டது. கார்ப்பரேட் உள்கட்டமைப்பை ரிமோட் அட்டாக்கர் அல்லது இன்சைடர் சோதனை செய்கிறார் என்பதற்கான குறிகாட்டி இப்போது எங்களிடம் உள்ளது.
Get-Sysmonlogs ஐ அறிமுகப்படுத்துகிறோம்
சிஸ்மோன் பதிவுகளை ஒரே இடத்தில் வைக்கும்போது நிச்சயமாக நன்றாக இருக்கும். தனிப்பட்ட பதிவு புலங்களை நிரல் ரீதியாக அணுக முடிந்தால் அது இன்னும் சிறப்பாக இருக்கும் - எடுத்துக்காட்டாக, பவர்ஷெல் கட்டளைகள் மூலம். இந்த வழக்கில், சாத்தியமான அச்சுறுத்தல்களுக்கான தேடலை தானியங்குபடுத்தும் சிறிய பவர்ஷெல் ஸ்கிரிப்டை நீங்கள் எழுதலாம்!
அப்படியொரு எண்ணம் எனக்கு முதலில் தோன்றவில்லை. சில மன்ற இடுகைகள் மற்றும் GitHub இல் இருப்பது நல்லது
முதல் முக்கியமான விஷயம் அணியின் திறன்
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
$events வரிசையின் முதல் உறுப்பான $events[0] இல் உள்ள உள்ளடக்கத்தைக் காண்பிப்பதன் மூலம், கட்டளையை நீங்களே சோதிக்க விரும்பினால், வெளியீடு மிகவும் எளிமையான வடிவமைப்புடன் உரைச் சரங்களின் வரிசையாக இருக்கலாம்: இதன் பெயர் Sysmon புலம், ஒரு பெருங்குடல், பின்னர் மதிப்பு.
ஹூரே! JSON-தயாரான வடிவத்தில் Sysmon உள்நுழைவை வெளியிடுகிறது
என்னைப் போலவே நீயும் நினைக்கிறாயா? இன்னும் சிறிது முயற்சியுடன், நீங்கள் வெளியீட்டை JSON வடிவமைக்கப்பட்ட சரமாக மாற்றலாம் மற்றும் சக்திவாய்ந்த கட்டளையைப் பயன்படுத்தி நேரடியாக PS பொருளில் ஏற்றலாம்.
மாற்றத்திற்கான பவர்ஷெல் குறியீட்டை - இது மிகவும் எளிமையானது - அடுத்த பகுதியில் காண்பிக்கிறேன். இப்போதைக்கு, நான் PS தொகுதியாக நிறுவிய get-sysmonlogs எனப்படும் எனது புதிய கட்டளை என்ன செய்ய முடியும் என்பதைப் பார்ப்போம்.
ஒரு சிரமமான நிகழ்வுப் பதிவு இடைமுகம் மூலம் சிஸ்மோன் பதிவுப் பகுப்பாய்வில் ஆழமாக மூழ்குவதற்குப் பதிலாக, பவர்ஷெல் அமர்விலிருந்து நேரடியாக அதிகரிக்கும் செயல்பாட்டை எளிதாகத் தேடலாம், அத்துடன் PS கட்டளையைப் பயன்படுத்தலாம்.
WMI வழியாக தொடங்கப்பட்ட cmd ஷெல்களின் பட்டியல். எங்கள் சொந்த கெட்-சிஸ்மோன்லாக்ஸ் குழுவுடன் மலிவான அச்சுறுத்தல் பகுப்பாய்வு
அற்புத! சிஸ்மோன் பதிவை ஒரு தரவுத்தளத்தைப் போல வாக்களிக்க ஒரு கருவியை உருவாக்கினேன். பற்றி எங்கள் கட்டுரையில்
சிஸ்மன் மற்றும் வரைபட பகுப்பாய்வு
பின்வாங்கி, நாம் உருவாக்கியதைப் பற்றி சிந்திப்போம். முக்கியமாக, இப்போது பவர்ஷெல் மூலம் அணுகக்கூடிய விண்டோஸ் நிகழ்வு தரவுத்தளத்தை நாங்கள் பெற்றுள்ளோம். நான் முன்பே குறிப்பிட்டது போல, பதிவுகளுக்கு இடையே இணைப்புகள் அல்லது உறவுகள் உள்ளன - ParentProcessId வழியாக - செயல்முறைகளின் முழுமையான படிநிலையைப் பெறலாம்.
நீங்கள் தொடரைப் படித்திருந்தால்
ஆனால் எனது Get-Sysmonlogs கட்டளை மற்றும் கூடுதல் தரவு கட்டமைப்பின் மூலம் நாம் பின்னர் உரையில் பார்ப்போம் (ஒரு வரைபடம், நிச்சயமாக), அச்சுறுத்தல்களைக் கண்டறிய எங்களிடம் ஒரு நடைமுறை வழி உள்ளது - இதற்கு சரியான உச்சித் தேடலைச் செய்ய வேண்டும்.
எப்பொழுதும் எங்கள் DYI வலைப்பதிவு திட்டங்களுடன், சிறிய அளவில் அச்சுறுத்தல்களின் விவரங்களை பகுப்பாய்வு செய்வதில் நீங்கள் எவ்வளவு அதிகமாக வேலை செய்கிறீர்களோ, அந்த அளவுக்கு நிறுவன அளவில் அச்சுறுத்தல் கண்டறிதல் எவ்வளவு சிக்கலானது என்பதை நீங்கள் உணருவீர்கள். மேலும் இந்த விழிப்புணர்வு மிகவும் அதிகமாக உள்ளது முக்கியமான புள்ளி.
கட்டுரையின் இரண்டாம் பகுதியில் முதல் சுவாரஸ்யமான சிக்கல்களை நாங்கள் சந்திப்போம், அங்கு சிஸ்மோன் நிகழ்வுகளை ஒருவருக்கொருவர் மிகவும் சிக்கலான கட்டமைப்புகளுடன் இணைக்கத் தொடங்குவோம்.
ஆதாரம்: www.habr.com