సమాచార భద్రత పరంగా యూజర్ వర్క్స్టేషన్ అనేది మౌలిక సదుపాయాల యొక్క అత్యంత హాని కలిగించే అంశం. వినియోగదారులు తమ కార్యాలయ ఇమెయిల్కు సురక్షిత మూలం నుండి వచ్చినట్లుగా కనిపించే లేఖను అందుకోవచ్చు, కానీ సోకిన సైట్కు లింక్తో. పనికి ఉపయోగపడే యుటిలిటీని ఎవరైనా తెలియని ప్రదేశం నుండి డౌన్లోడ్ చేసి ఉండవచ్చు. అవును, వినియోగదారుల ద్వారా అంతర్గత కార్పొరేట్ వనరులలోకి మాల్వేర్ ఎలా చొరబడుతుందనే దాని గురించి మీరు డజన్ల కొద్దీ కేసులతో రావచ్చు. అందువల్ల, వర్క్స్టేషన్లకు ఎక్కువ శ్రద్ధ అవసరం మరియు దాడులను పర్యవేక్షించడానికి ఎక్కడ మరియు ఏ సంఘటనలు తీసుకోవాలో ఈ వ్యాసంలో మేము మీకు తెలియజేస్తాము.
సాధ్యమైన తొలి దశలోనే దాడిని గుర్తించేందుకు, విండోస్ మూడు ఉపయోగకరమైన ఈవెంట్ మూలాలను కలిగి ఉంది: సెక్యూరిటీ ఈవెంట్ లాగ్, సిస్టమ్ మానిటరింగ్ లాగ్ మరియు పవర్ షెల్ లాగ్లు.
భద్రతా ఈవెంట్ లాగ్
సిస్టమ్ సెక్యూరిటీ లాగ్ల కోసం ఇది ప్రధాన నిల్వ స్థానం. ఇందులో వినియోగదారు లాగిన్/లాగ్ అవుట్ ఈవెంట్లు, ఆబ్జెక్ట్లకు యాక్సెస్, విధాన మార్పులు మరియు ఇతర భద్రతా సంబంధిత కార్యకలాపాలు ఉంటాయి. అయితే, తగిన విధానం కాన్ఫిగర్ చేయబడితే.
వినియోగదారులు మరియు సమూహాల గణన (ఈవెంట్లు 4798 మరియు 4799). దాడి ప్రారంభంలో, మాల్వేర్ తరచుగా స్థానిక వినియోగదారు ఖాతాలు మరియు వర్క్స్టేషన్లోని స్థానిక సమూహాల ద్వారా దాని చీకటి లావాదేవీల కోసం ఆధారాలను కనుగొనడానికి శోధిస్తుంది. ఈ ఈవెంట్లు హానికరమైన కోడ్ని తరలించడానికి ముందు గుర్తించడంలో సహాయపడతాయి మరియు సేకరించిన డేటాను ఉపయోగించి, ఇతర సిస్టమ్లకు వ్యాప్తి చెందుతాయి.
స్థానిక ఖాతాని సృష్టించడం మరియు స్థానిక సమూహాలలో మార్పులు (ఈవెంట్లు 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 మరియు 5377). దాడి కూడా ప్రారంభమవుతుంది, ఉదాహరణకు, స్థానిక నిర్వాహకుల సమూహానికి కొత్త వినియోగదారుని జోడించడం ద్వారా.
స్థానిక ఖాతాతో లాగిన్ ప్రయత్నాలు (ఈవెంట్ 4624). గౌరవనీయమైన వినియోగదారులు డొమైన్ ఖాతాతో లాగ్ ఇన్ చేస్తారు మరియు స్థానిక ఖాతా కింద లాగిన్ను గుర్తించడం అంటే దాడి ప్రారంభమని అర్థం. ఈవెంట్ 4624 డొమైన్ ఖాతా క్రింద లాగిన్లను కూడా కలిగి ఉంటుంది, కాబట్టి ఈవెంట్లను ప్రాసెస్ చేస్తున్నప్పుడు, మీరు డొమైన్ వర్క్స్టేషన్ పేరుకు భిన్నంగా ఉన్న ఈవెంట్లను ఫిల్టర్ చేయాలి.
పేర్కొన్న ఖాతాతో లాగిన్ చేయడానికి ప్రయత్నం (ఈవెంట్ 4648). ప్రక్రియ "రన్ లాగా" మోడ్లో నడుస్తున్నప్పుడు ఇది జరుగుతుంది. వ్యవస్థల సాధారణ ఆపరేషన్ సమయంలో ఇది జరగకూడదు, కాబట్టి అలాంటి సంఘటనలు తప్పనిసరిగా నియంత్రించబడాలి.
వర్క్స్టేషన్ను లాక్ చేయడం/అన్లాక్ చేయడం (ఈవెంట్లు 4800-4803). అనుమానాస్పద ఈవెంట్ల వర్గం లాక్ చేయబడిన వర్క్స్టేషన్లో జరిగిన ఏవైనా చర్యలను కలిగి ఉంటుంది.
ఫైర్వాల్ కాన్ఫిగరేషన్ మార్పులు (ఈవెంట్లు 4944-4958). సహజంగానే, కొత్త సాఫ్ట్వేర్ను ఇన్స్టాల్ చేస్తున్నప్పుడు, ఫైర్వాల్ కాన్ఫిగరేషన్ సెట్టింగ్లు మారవచ్చు, ఇది తప్పుడు పాజిటివ్లకు కారణమవుతుంది. చాలా సందర్భాలలో, అటువంటి మార్పులను నియంత్రించాల్సిన అవసరం లేదు, కానీ వాటి గురించి తెలుసుకోవడం ఖచ్చితంగా బాధించదు.
Plug'n'play పరికరాలను కనెక్ట్ చేస్తోంది (ఈవెంట్ 6416 మరియు WIndows 10 కోసం మాత్రమే). వినియోగదారులు సాధారణంగా కొత్త పరికరాలను వర్క్స్టేషన్కి కనెక్ట్ చేయకపోతే, అకస్మాత్తుగా వారు అలా చేస్తే, దీనిపై నిఘా ఉంచడం చాలా ముఖ్యం.
విండోస్లో 9 ఆడిట్ కేటగిరీలు మరియు ఫైన్-ట్యూనింగ్ కోసం 50 ఉపవర్గాలు ఉన్నాయి. సెట్టింగ్లలో ఎనేబుల్ చేయవలసిన కనీస ఉపవర్గాల సెట్:
లాగాన్ / logoff
- లాగాన్;
- ముసివేయు;
- ఖాతా లాక్అవుట్;
- ఇతర లాగిన్/లాగాఫ్ ఈవెంట్లు.
పద్దు నిర్వహణ
- వినియోగదారు ఖాతా నిర్వహణ;
- సెక్యూరిటీ గ్రూప్ మేనేజ్మెంట్.
విధానం మార్పు
- ఆడిట్ పాలసీ మార్పు;
- ప్రమాణీకరణ విధానం మార్పు;
- ఆథరైజేషన్ పాలసీ మార్పు.
సిస్టమ్ మానిటర్ (Sysmon)
Sysmon అనేది సిస్టమ్ లాగ్లో ఈవెంట్లను రికార్డ్ చేయగల విండోస్లో నిర్మించబడిన యుటిలిటీ. సాధారణంగా మీరు దీన్ని విడిగా ఇన్స్టాల్ చేయాలి.
ఇదే సంఘటనలు, సూత్రప్రాయంగా, భద్రతా లాగ్లో (కావలసిన ఆడిట్ విధానాన్ని ప్రారంభించడం ద్వారా) కనుగొనవచ్చు, అయితే Sysmon మరిన్ని వివరాలను అందిస్తుంది. Sysmon నుండి ఏ ఈవెంట్లను తీసుకోవచ్చు?
ప్రక్రియ సృష్టి (ఈవెంట్ ID 1). సిస్టమ్ సెక్యూరిటీ ఈవెంట్ లాగ్ ఒక *.exe ఎప్పుడు ప్రారంభించబడిందో కూడా మీకు తెలియజేస్తుంది మరియు దాని పేరు మరియు ప్రారంభ మార్గాన్ని కూడా చూపుతుంది. కానీ Sysmon వలె కాకుండా, ఇది అప్లికేషన్ హాష్ను చూపించదు. హానికరమైన సాఫ్ట్వేర్ను హానిచేయని notepad.exe అని కూడా పిలువవచ్చు, కానీ దానిని వెలుగులోకి తెచ్చేది హాష్.
నెట్వర్క్ కనెక్షన్లు (ఈవెంట్ ID 3). సహజంగానే, చాలా నెట్వర్క్ కనెక్షన్లు ఉన్నాయి మరియు వాటన్నింటినీ ట్రాక్ చేయడం అసాధ్యం. కానీ Sysmon, సెక్యూరిటీ లాగ్ వలె కాకుండా, ProcessID మరియు ProcessGUID ఫీల్డ్లకు నెట్వర్క్ కనెక్షన్ని బంధించగలదని మరియు మూలం మరియు గమ్యం యొక్క పోర్ట్ మరియు IP చిరునామాలను చూపుతుందని పరిగణించడం ముఖ్యం.
సిస్టమ్ రిజిస్ట్రీలో మార్పులు (ఈవెంట్ ID 12-14). ఆటోరన్కి మిమ్మల్ని మీరు జోడించుకోవడానికి సులభమైన మార్గం రిజిస్ట్రీలో నమోదు చేసుకోవడం. సెక్యూరిటీ లాగ్ దీన్ని చేయగలదు, కానీ Sysmon ఎవరు మార్పులు చేసారో, ఎప్పుడు, ఎక్కడ నుండి, ప్రాసెస్ ID మరియు మునుపటి కీ విలువను చూపుతుంది.
ఫైల్ సృష్టి (ఈవెంట్ ID 11). Sysmon, సెక్యూరిటీ లాగ్ వలె కాకుండా, ఫైల్ యొక్క స్థానాన్ని మాత్రమే కాకుండా, దాని పేరును కూడా చూపుతుంది. మీరు ప్రతిదానిని ట్రాక్ చేయలేరని స్పష్టంగా ఉంది, కానీ మీరు నిర్దిష్ట డైరెక్టరీలను ఆడిట్ చేయవచ్చు.
ఇప్పుడు సెక్యూరిటీ లాగ్ పాలసీలలో లేనివి సిస్మోన్లో ఉన్నాయి:
ఫైల్ సృష్టి సమయం మార్పు (ఈవెంట్ ID 2). కొన్ని మాల్వేర్లు ఇటీవల సృష్టించిన ఫైల్ల నివేదికల నుండి ఫైల్ను దాచడానికి దాని సృష్టి తేదీని మోసగించవచ్చు.
డ్రైవర్లు మరియు డైనమిక్ లైబ్రరీలను లోడ్ చేస్తోంది (ఈవెంట్ IDలు 6-7). DLLలు మరియు పరికర డ్రైవర్లను మెమరీలోకి లోడ్ చేయడాన్ని పర్యవేక్షించడం, డిజిటల్ సంతకం మరియు దాని చెల్లుబాటును తనిఖీ చేయడం.
నడుస్తున్న ప్రక్రియలో థ్రెడ్ను సృష్టించండి (ఈవెంట్ ID 8). ఒక రకమైన దాడిని కూడా పర్యవేక్షించాల్సిన అవసరం ఉంది.
RawAccessRead ఈవెంట్లు (ఈవెంట్ ID 9). “.” ఉపయోగించి డిస్క్ రీడ్ ఆపరేషన్లు. చాలా సందర్భాలలో, అటువంటి చర్య అసాధారణమైనదిగా పరిగణించబడాలి.
పేరున్న ఫైల్ స్ట్రీమ్ను సృష్టించండి (ఈవెంట్ ID 15). ఫైల్ కంటెంట్ల హాష్తో ఈవెంట్లను విడుదల చేసే పేరున్న ఫైల్ స్ట్రీమ్ సృష్టించబడినప్పుడు ఈవెంట్ లాగ్ చేయబడుతుంది.
పేరున్న పైప్ మరియు కనెక్షన్ని సృష్టిస్తోంది (ఈవెంట్ ID 17-18). పేరు పెట్టబడిన పైపు ద్వారా ఇతర భాగాలతో కమ్యూనికేట్ చేసే హానికరమైన కోడ్ను ట్రాక్ చేయడం.
WMI కార్యాచరణ (ఈవెంట్ ID 19). WMI ప్రోటోకాల్ ద్వారా సిస్టమ్ను యాక్సెస్ చేస్తున్నప్పుడు ఉత్పన్నమయ్యే ఈవెంట్ల నమోదు.
Sysmonని రక్షించుకోవడానికి, మీరు ID 4 (Sysmon ఆపివేయడం మరియు ప్రారంభించడం) మరియు ID 16 (Sysmon కాన్ఫిగరేషన్ మార్పులు)తో ఈవెంట్లను పర్యవేక్షించాలి.
పవర్ షెల్ లాగ్స్
పవర్ షెల్ అనేది విండోస్ ఇన్ఫ్రాస్ట్రక్చర్ని నిర్వహించడానికి శక్తివంతమైన సాధనం, కాబట్టి దాడి చేసేవారు దానిని ఎంచుకునే అవకాశాలు ఎక్కువగా ఉన్నాయి. పవర్ షెల్ ఈవెంట్ డేటాను పొందేందుకు మీరు ఉపయోగించే రెండు మూలాధారాలు ఉన్నాయి: Windows PowerShell లాగ్ మరియు Microsoft-WindowsPowerShell/ఆపరేషనల్ లాగ్.
Windows PowerShell లాగ్
డేటా ప్రొవైడర్ లోడ్ చేయబడింది (ఈవెంట్ ID 600). PowerShell ప్రొవైడర్లు పవర్షెల్ వీక్షించడానికి మరియు నిర్వహించడానికి డేటా యొక్క మూలాన్ని అందించే ప్రోగ్రామ్లు. ఉదాహరణకు, అంతర్నిర్మిత ప్రొవైడర్లు విండోస్ ఎన్విరాన్మెంట్ వేరియబుల్స్ లేదా సిస్టమ్ రిజిస్ట్రీ కావచ్చు. హానికరమైన కార్యాచరణను సకాలంలో గుర్తించడానికి కొత్త సరఫరాదారుల ఆవిర్భావం తప్పనిసరిగా పర్యవేక్షించబడాలి. ఉదాహరణకు, మీరు ప్రొవైడర్లలో WSMan కనిపించడాన్ని చూస్తే, రిమోట్ PowerShell సెషన్ ప్రారంభించబడింది.
Microsoft-WindowsPowerShell / ఆపరేషనల్ లాగ్ (లేదా MicrosoftWindows-PowerShellCore / PowerShell 6లో ఆపరేషనల్)
మాడ్యూల్ లాగింగ్ (ఈవెంట్ ID 4103). ఈవెంట్లు ప్రతి ఎగ్జిక్యూటెడ్ కమాండ్ మరియు దానిని పిలిచే పారామితుల గురించి సమాచారాన్ని నిల్వ చేస్తాయి.
స్క్రిప్ట్ బ్లాకింగ్ లాగింగ్ (ఈవెంట్ ID 4104). స్క్రిప్ట్ బ్లాకింగ్ లాగింగ్ పవర్షెల్ కోడ్ అమలు చేయబడిన ప్రతి బ్లాక్ను చూపుతుంది. దాడి చేసే వ్యక్తి ఆదేశాన్ని దాచడానికి ప్రయత్నించినప్పటికీ, ఈ ఈవెంట్ రకం వాస్తవానికి అమలు చేయబడిన పవర్షెల్ ఆదేశాన్ని చూపుతుంది. ఈ ఈవెంట్ రకం కొన్ని తక్కువ-స్థాయి API కాల్లను కూడా లాగిన్ చేయగలదు, ఈ ఈవెంట్లు సాధారణంగా వెర్బోస్గా రికార్డ్ చేయబడతాయి, అయితే కోడ్ బ్లాక్లో అనుమానాస్పద కమాండ్ లేదా స్క్రిప్ట్ ఉపయోగించబడితే, అది హెచ్చరిక తీవ్రతగా లాగ్ చేయబడుతుంది.
ఈ ఈవెంట్లను సేకరించడానికి మరియు విశ్లేషించడానికి సాధనాన్ని కాన్ఫిగర్ చేసిన తర్వాత, తప్పుడు పాజిటివ్ల సంఖ్యను తగ్గించడానికి అదనపు డీబగ్గింగ్ సమయం అవసరమని దయచేసి గమనించండి.
సమాచార భద్రతా ఆడిట్ల కోసం మీరు ఏ లాగ్లను సేకరిస్తారో మరియు దీని కోసం మీరు ఉపయోగించే సాధనాలను వ్యాఖ్యలలో మాకు తెలియజేయండి. సమాచార భద్రతా ఈవెంట్లను ఆడిటింగ్ చేయడానికి పరిష్కారాలు మా దృష్టిలో ఒకటి. లాగ్లను సేకరించడం మరియు విశ్లేషించడం యొక్క సమస్యను పరిష్కరించడానికి, మేము నిశితంగా పరిశీలించమని సూచించవచ్చు , ఇది 20:1 నిష్పత్తితో నిల్వ చేయబడిన డేటాను కుదించగలదు మరియు దాని యొక్క ఒక ఇన్స్టాల్ చేసిన ఉదాహరణ 60000 మూలాల నుండి సెకనుకు 10000 ఈవెంట్లను ప్రాసెస్ చేయగలదు.
మూలం: www.habr.com