Нашри версияи 12-и Sysmon рӯзи 17 сентябр эълон шуд . Дар асл, версияҳои нави Process Monitor ва ProcDump низ дар ин рӯз бароварда шуданд. Дар ин мақола ман дар бораи навовариҳои калидӣ ва баҳсбарангези версияи 12-и Sysmon - намуди рӯйдодҳо бо ID ID 24, ки дар он кор бо буфер сабт шудааст, сӯҳбат мекунам.
Маълумот аз ин намуди ҳодиса имкониятҳои навро барои мониторинги фаъолияти шубҳанок (инчунин осебпазирии нав) мекушояд. Ҳамин тавр, шумо метавонед бифаҳмед, ки кӣ, дар куҷо ва маҳз чиро нусхабардорӣ карданӣ буданд. Дар зер буриш тавсифи баъзе соҳаҳои ҳодисаи нав ва якчанд ҳолатҳои истифода мебошад.
Чорабинии нав дорои майдонҳои зерин аст:
Акс: раванде, ки аз он маълумот ба буфер навишта мешуд.
Ҷаласаи: сессияе, ки дар он буфер навишта шуда буд. Он метавонад система бошад (0)
ҳангоми кор дар интернет ё фосилавӣ ва ғайра.
ClientInfo: дорои номи корбарии сеанс ва дар сурати сеанси дурдаст номи аслии мизбон ва суроғаи IP, агар мавҷуд бошад.
Хешҳо: номи файлеро, ки дар он матни нусхабардорӣ нигоҳ дошта шудааст, муайян мекунад (монанди кор бо рӯйдодҳои навъи FileDelete).
Архившуда: ҳолати, оё матн аз буфер дар директорияи бойгонии Sysmon захира шудааст.
Якчанд майдони охирин ташвишовар аст. Гап дар он аст, ки аз версияи 11 Sysmon метавонад (бо танзимоти мувофиқ) маълумотҳои гуногунро дар феҳристи бойгонии худ захира кунад. Масалан, Event ID 23 рӯйдодҳои несткунии файлро сабт мекунад ва метавонад ҳамаи онҳоро дар як директорияи бойгонӣ захира кунад. Теги CLIP ба номи файлҳое, ки дар натиҷаи кор бо буфер сохта шудаанд, илова карда мешавад. Худи файлҳо дорои маълумоти дақиқе мебошанд, ки ба буфер нусхабардорӣ карда шудаанд.
Ин аст он чизе ки файли захирашуда ба назар мерасад
Захира ба файл ҳангоми насб фаъол карда мешавад. Шумо метавонед рӯйхатҳои сафеди равандҳоеро таъин кунед, ки матн барои онҳо захира карда намешавад.
Ин аст он чизест, ки насби Sysmon бо танзимоти феҳристи бойгонии мувофиқ ба назар мерасад:
Дар ин ҷо, ман фикр мекунам, дар хотир доштан лозим аст, ки менеҷерҳои парол, ки буферро низ истифода мебаранд. Доштани Sysmon дар система бо мудири парол ба шумо (ё ҳамлакунанда) имкон медиҳад, ки ин паролҳоро забт кунед. Фарз мекунем, ки шумо медонед, ки кадом раванд матни нусхабардориро ҷудо мекунад (ва ин на ҳамеша раванди мудири парол аст, аммо шояд баъзе svchost), ин истисноро ба рӯйхати сафед илова кардан мумкин аст ва захира карда намешавад.
Шояд шумо намедонед, аммо матни буфер ҳангоми гузаштан ба он дар реҷаи сеанси RDP сервери дурдаст гирифта мешавад. Агар шумо дар буфери худ чизе дошта бошед ва шумо байни ҷаласаҳои RDP гузаред, ин маълумот бо шумо хоҳад рафт.
Биёед имкониятҳои Sysmon-ро барои кор бо буфер ҷамъбаст кунем.
Собит:
- Нусхаи матнии матни часпонидашуда тавассути RDP ва ба таври маҳаллӣ;
- Гирифтани маълумот аз буфер тавассути утилитаҳо/равандҳои гуногун;
- Матнро аз/ба мошини маҷозии маҳаллӣ нусхабардорӣ/часбонед, ҳатто агар ин матн ҳанӯз часбонда нашуда бошад.
Ба қайд гирифта нашудааст:
- Нусхабардорӣ/часпондани файлҳо аз/ба мошини виртуалии маҳаллӣ;
- Файлҳоро тавассути RDP нусхабардорӣ/часбонед
- Нармафзори зараровар, ки буфери шуморо ғорат мекунад, танҳо ба худи буфер менависад.
Сарфи назар аз номуайянии худ, ин намуди ҳодиса ба шумо имкон медиҳад, ки алгоритми амалҳои ҳамлагарро барқарор кунед ва дар муайян кардани маълумоти қаблан дастнорас барои ташаккули пас аз ҳамлаҳо кӯмак расонад. Агар навиштани мундариҷа ба буфер ҳанӯз фаъол бошад, муҳим аст, ки ҳар як дастрасиро ба директорияи бойгонӣ сабт кунед ва дастрасии эҳтимолан хатарнокро муайян кунед (бо ташаббуси sysmon.exe нест).
Барои сабт, таҳлил ва вокуниш ба рӯйдодҳои дар боло номбаршуда, шумо метавонед асбобро истифода баред , ки ҳар се равишро муттаҳид мекунад ва илова бар ин, як анбори муассири мутамаркази ҳама маълумоти хоми ҷамъовардашуда мебошад. Мо метавонем ҳамгироии онро бо системаҳои маъмули SIEM танзим кунем, то арзиши иҷозатномадиҳии онҳоро тавассути интиқоли коркард ва нигоҳдории маълумоти хом ба InTrust ба ҳадди ақал расонем.
Барои гирифтани маълумоти бештар дар бораи InTrust, мақолаҳои қаблии моро хонед ё .
(мақолаи маъмул)
Манбаъ: will.com