Истгоҳи кории корбар аз ҷиҳати амнияти иттилоотӣ осебпазиртарин нуқтаи инфрасохтор мебошад. Истифодабарандагон метавонанд ба почтаи электронии кории худ номае гиранд, ки аз манбаи бехатар аст, аммо бо истиноди сайти сироятшуда. Шояд касе аз макони номаълум як утилитае, ки барои кор муфид аст, зеркашӣ кунад. Бале, шумо метавонед даҳҳо ҳолатҳоеро пайдо кунед, ки чӣ гуна нармафзори зараровар метавонад тавассути корбарон ба захираҳои дохилии корпоративӣ ворид шавад. Аз ин рӯ, истгоҳҳои корӣ таваҷҷӯҳи бештарро талаб мекунанд ва дар ин мақола мо ба шумо мегӯям, ки барои назорат кардани ҳамлаҳо дар куҷо ва кадом ҳодисаҳоро бояд анҷом дод.
Барои ошкор кардани ҳамла дар марҳилаи аввали имконпазир, WIndows дорои се манбаи муфиди рӯйдодҳо мебошад: Сабти рӯйдодҳои амниятӣ, Журнали мониторинги система ва гузоришҳои Power Shell.
Рӯйхати рӯйдодҳои амниятӣ
Ин макони асосии нигаҳдории сабтҳои амнияти система мебошад. Ин рӯйдодҳои воридшавӣ/баромади корбар, дастрасӣ ба объектҳо, тағйироти сиёсат ва дигар фаъолиятҳои марбут ба амниятро дар бар мегирад. Албатта, агар сиёсати мувофиқ танзим карда шавад.
Рӯйхати корбарон ва гурӯҳҳо (ҳодисаҳои 4798 ва 4799). Дар ибтидои ҳамла, нармафзори зараровар аксар вақт тавассути ҳисобҳои корбарони маҳаллӣ ва гурӯҳҳои маҳаллӣ дар як истгоҳи корӣ ҷустуҷӯ мекунад, то маълумоти эътимоднок барои муомилоти сояафкани худро пайдо кунад. Ин рӯйдодҳо барои ошкор кардани коди зараровар пеш аз он ки он идома ёбад ва бо истифода аз маълумоти ҷамъшуда ба системаҳои дигар паҳн шавад, кӯмак мекунад.
Эҷоди ҳисоби маҳаллӣ ва тағирот дар гурӯҳҳои маҳаллӣ (ҳодисаҳои 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 ва 5377). Ҳамла инчунин метавонад, масалан, бо илова кардани корбари нав ба гурӯҳи маъмурони маҳаллӣ оғоз шавад.
Кӯшишҳои воридшавӣ бо ҳисоби маҳаллӣ (ҳодисаи 4624). Корбарони мӯҳтарам бо ҳисоби домен ворид мешаванд ва муайян кардани воридшавӣ зери ҳисоби маҳаллӣ метавонад маънои оғози ҳамларо дошта бошад. Ҳодисаи 4624 инчунин вурудҳоро зери ҳисоби домен дар бар мегирад, бинобар ин ҳангоми коркарди рӯйдодҳо, шумо бояд рӯйдодҳоеро, ки домен аз номи истгоҳи корӣ фарқ мекунад, филтр кунед.
Кӯшиши ворид шудан бо ҳисоби муайяншуда (ҳодисаи 4648). Ин вақте рух медиҳад, ки раванд дар реҷаи "ҳамчун иҷро" иҷро мешавад. Ин набояд ҳангоми кори муқаррарии системаҳо рух диҳад, бинобар ин, чунин ҳодисаҳо бояд назорат карда шаванд.
Қулф / кушодани истгоҳи корӣ (ҳодисаҳои 4800-4803). Категорияи рӯйдодҳои шубҳанок ҳама гуна амалҳоеро дар бар мегирад, ки дар як истгоҳи кории қулфшуда рух додаанд.
Тағироти конфигуратсияи Сипар (ҳодисаҳои 4944-4958). Аён аст, ки ҳангоми насб кардани нармафзори нав, танзимоти конфигуратсияи брандмауэр метавонад тағир ёбад, ки боиси мусбатҳои бардурӯғ мегардад. Дар аксари ҳолатҳо, зарурати назорат кардани чунин тағирот вуҷуд надорад, аммо донистани онҳо бешубҳа зарар намерасонад.
Пайваст кардани дастгоҳҳои Plug'n'play (ҳодисаи 6416 ва танҳо барои Windows 10). Муҳим аст, ки ба ин диққат диҳед, агар корбарон одатан дастгоҳҳои навро ба истгоҳи корӣ пайваст накунанд, аммо ногаҳон онҳо ин корро мекунанд.
Windows дорои 9 категорияи аудит ва 50 зеркатегорияҳо барои танзими дақиқ мебошад. Маҷмӯи ҳадди ақали зеркатегорияҳо, ки бояд дар танзимот фаъол карда шаванд:
Воридшавӣ / баромадан
- ворид шудан;
- Баромадан;
- Бастани ҳисоб;
- Дигар рӯйдодҳои воридшавӣ/баромад.
Идоракунии суратҳисоб
- Идоракунии ҳисоби корбар;
- Идоракунии гурӯҳи амниятӣ.
Тағйири сиёсат
- Тағйир додани сиёсати аудит;
- Тағйир додани сиёсати аутентификатсия;
- Тағйир додани сиёсати иҷозатдиҳӣ.
Монитори система (Sysmon)
Sysmon як хидматест, ки дар Windows сохта шудааст, ки метавонад рӯйдодҳоро дар гузориши система сабт кунад. Одатан, шумо бояд онро алоҳида насб кунед.
Ин рӯйдодҳоро аслан дар гузориши амният пайдо кардан мумкин аст (бо фаъол кардани сиёсати аудити дилхоҳ), аммо Sysmon тафсилоти бештар медиҳад. Кадом рӯйдодҳоро аз Sysmon гирифтан мумкин аст?
Эҷоди раванд (ID 1). Сабти рӯйдодҳои амнияти система инчунин метавонад ба шумо бигӯяд, ки кай *.exe оғоз шуд ва ҳатто ном ва роҳи оғозёбии онро нишон диҳад. Аммо бар хилофи Sysmon, он наметавонад хэши барномаро нишон диҳад. Нармафзори зараровар ҳатто метавонад notepad.exe-и безарар номида шавад, аммо маҳз хэш аст, ки онро ба равшанӣ меорад.
Пайвастҳои шабакавӣ (ID 3). Аён аст, ки пайвастҳои шабакавӣ зиёданд ва пайгирӣ кардани ҳамаи онҳо ғайриимкон аст. Аммо бояд ба назар гирифт, ки Sysmon, бар хилофи Security Log, метавонад пайвасти шабакаро ба майдонҳои ProcessID ва ProcessGUID пайваст кунад ва порт ва IP суроғаҳои манбаъ ва макони таъинотро нишон диҳад.
Тағирот дар феҳристи система (ID 12-14). Роҳи осонтарини илова кардани худ ба autorun ин сабти ном дар феҳрист аст. Log Security ин корро карда метавонад, аммо Sysmon нишон медиҳад, ки кӣ тағиротро кай, аз куҷо, ID-и протсессор ва арзиши калиди қаблӣ ворид кардааст.
Эҷоди файл (ID 11). Sysmon, бар хилофи Security Log, на танҳо ҷойгиршавии файл, балки номи онро низ нишон медиҳад. Маълум аст, ки шумо наметавонед ҳама чизро пайгирӣ кунед, аммо шумо метавонед феҳристҳои муайянро тафтиш кунед.
Ва ҳоло он чизест, ки дар сиёсати Log Security нест, балки дар Sysmon аст:
Тағйир додани вақти эҷоди файл (ID 2). Баъзе нармафзорҳои зараровар метавонанд санаи офариниши файлро қаллобӣ кунанд, то онро аз гузоришҳои файлҳои ба наздикӣ сохташуда пинҳон кунанд.
Боркунии драйверҳо ва китобхонаҳои динамикӣ (ID-ҳои ҳодиса 6-7). Мониторинги боркунии DLL ва драйверҳои дастгоҳ ба хотира, тафтиши имзои рақамӣ ва эътибори он.
Дар раванди иҷрошаванда ришта эҷод кунед (ID 8). Як намуди ҳамла, ки низ бояд назорат карда шавад.
Ҳодисаҳои RawAccessRead (ID 9). Амалиётҳои хондани диск бо истифода аз ".". Дар аксари ҳолатҳо, чунин фаъолият бояд ғайримуқаррарӣ ҳисобида шавад.
Ҷараёни файли номшударо эҷод кунед (ID 15). Ҳодиса вақте сабт мешавад, ки ҷараёни файли номбаршуда эҷод мешавад, ки рӯйдодҳоро бо хэши мундариҷаи файл мебарорад.
Эҷоди қубур ва пайвасти номбаршуда (ID 17-18). Пайгирии рамзи зараровар, ки бо дигар ҷузъҳо тавассути қубури номбаршуда муошират мекунад.
Фаъолияти WMI (ID 19). Бақайдгирии рӯйдодҳое, ки ҳангоми дастрасӣ ба система тавассути протоколи WMI тавлид мешаванд.
Барои муҳофизат кардани худи Sysmon, шумо бояд рӯйдодҳоро бо ID 4 (қатъ ва оғози Sysmon) ва ID 16 (тағйироти конфигуратсияи Sysmon) назорат кунед.
Гузоришҳои Power Shell
Power Shell як воситаи пуриқтидор барои идоракунии инфрасохтори Windows аст, бинобар ин эҳтимолияти ҳамлагар онро интихоб мекунад. Ду манбае вуҷуд дорад, ки шумо метавонед барои ба даст овардани маълумоти рӯйдодҳои Power Shell истифода баред: Сабти Windows PowerShell ва Сабти Microsoft-WindowsPowerShell/Operational.
Сабти Windows PowerShell
Провайдери маълумот бор карда шуд (ID 600 ҳодиса). Провайдерҳои PowerShell барномаҳое мебошанд, ки манбаи маълумотро барои дидан ва идора кардани PowerShell таъмин мекунанд. Масалан, провайдерҳои дарунсохт метавонанд тағирёбандаҳои муҳити Windows ё феҳристи система бошанд. Пайдоиши таъминкунандагони нав бояд назорат карда шавад, то фаъолияти зараровар сари вақт ошкор карда шавад. Масалан, агар шумо мебинед, ки WSMan дар байни провайдерҳо пайдо мешавад, пас сессияи дурдасти PowerShell оғоз шудааст.
Microsoft-WindowsPowerShell / Сабти амалиётӣ (ё MicrosoftWindows-PowerShellCore / Operational дар PowerShell 6)
Сабти модул (ID 4103). Ҳодисаҳо маълумотро дар бораи ҳар як фармони иҷрошуда ва параметрҳое, ки бо он даъват карда шудаанд, нигоҳ медоранд.
Бақайдгирии бастани скрипт (ID 4104). Бақайдгирии блоки скрипт ҳар як блоки рамзи PowerShell иҷрошударо нишон медиҳад. Ҳатто агар ҳамлагар кӯшиш кунад, ки фармонро пинҳон кунад, ин навъи ҳодиса фармони PowerShell-ро, ки воқеан иҷро шудааст, нишон медиҳад. Ин навъи ҳодиса инчунин метавонад баъзе зангҳои API-и сатҳи пасти анҷомшударо сабт кунад, ин рӯйдодҳо одатан ҳамчун муфассал сабт карда мешаванд, аммо агар фармон ё скрипти шубҳанок дар блоки код истифода шавад, он ҳамчун шиддати огоҳӣ сабт карда мешавад.
Лутфан таваҷҷӯҳ намоед, ки вақте ки асбоб барои ҷамъоварӣ ва таҳлили ин рӯйдодҳо танзим карда мешавад, барои кам кардани шумораи мусбатҳои бардурӯғ вақти иловагии ислоҳкунӣ лозим мешавад.
Дар шарҳҳо ба мо бигӯед, ки шумо кадом гузоришҳоро барои аудити амнияти иттилоотӣ ҷамъ меоред ва кадом асбобҳоро барои ин истифода мекунед. Яке аз самтҳои таваҷҷӯҳи мо ҳалли аудити рӯйдодҳои амнияти иттилоотӣ мебошад. Барои ҳалли мушкилоти ҷамъоварӣ ва таҳлили гузоришҳо, мо метавонем пешниҳод кунем, ки бодиққат дида бароем , ки метавонад маълумоти захирашударо бо таносуби 20:1 фишурда кунад ва як нусхаи насбшудаи он қодир аст то 60000 10000 ҳодисаро дар як сония аз XNUMX XNUMX манбаъ коркард кунад.
Манбаъ: will.com