เวิร์กสเตชันผู้ใช้เป็นจุดอ่อนที่สุดของโครงสร้างพื้นฐานในแง่ของความปลอดภัยของข้อมูล ผู้ใช้อาจได้รับจดหมายถึงอีเมลที่ทำงานของตนซึ่งดูเหมือนว่าจะมาจากแหล่งที่ปลอดภัย แต่มีลิงก์ไปยังไซต์ที่ติดไวรัส บางทีอาจมีบางคนดาวน์โหลดยูทิลิตี้ที่มีประโยชน์สำหรับการทำงานจากตำแหน่งที่ไม่รู้จัก ใช่ คุณสามารถคิดได้ว่ามัลแวร์สามารถแทรกซึมทรัพยากรภายในองค์กรผ่านทางผู้ใช้ได้อย่างไร ดังนั้นเวิร์กสเตชันจึงต้องการความสนใจเพิ่มขึ้น และในบทความนี้ เราจะบอกคุณว่าเหตุการณ์ใดและเหตุการณ์ใดที่ต้องดำเนินการเพื่อติดตามการโจมตี
เพื่อตรวจจับการโจมตีในระยะแรกสุดที่เป็นไปได้ WIndows มีแหล่งที่มาของเหตุการณ์ที่มีประโยชน์สามแหล่ง: บันทึกเหตุการณ์ความปลอดภัย บันทึกการตรวจสอบระบบ และบันทึก Power Shell
บันทึกเหตุการณ์การรักษาความปลอดภัย
นี่คือตำแหน่งที่เก็บข้อมูลหลักสำหรับบันทึกความปลอดภัยของระบบ ซึ่งรวมถึงเหตุการณ์ของการเข้าสู่ระบบ/ออกจากระบบของผู้ใช้ การเข้าถึงออบเจ็กต์ การเปลี่ยนแปลงนโยบาย และกิจกรรมที่เกี่ยวข้องกับความปลอดภัยอื่นๆ แน่นอนว่าหากมีการกำหนดค่านโยบายที่เหมาะสม
การแจงนับผู้ใช้และกลุ่ม (เหตุการณ์ 4798 และ 4799) ในช่วงเริ่มต้นของการโจมตี มัลแวร์มักจะค้นหาผ่านบัญชีผู้ใช้ภายในเครื่องและกลุ่มท้องถิ่นบนเวิร์กสเตชันเพื่อค้นหาข้อมูลประจำตัวสำหรับการติดต่อที่ซ่อนเร้น เหตุการณ์เหล่านี้จะช่วยตรวจจับโค้ดที่เป็นอันตรายก่อนที่จะดำเนินการต่อ และแพร่กระจายไปยังระบบอื่นโดยใช้ข้อมูลที่รวบรวมไว้
การสร้างบัญชีท้องถิ่นและการเปลี่ยนแปลงในกลุ่มท้องถิ่น (เหตุการณ์ 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 และ 5377) การโจมตียังสามารถเริ่มต้นได้ เช่น โดยการเพิ่มผู้ใช้ใหม่ในกลุ่มผู้ดูแลระบบภายใน
ความพยายามเข้าสู่ระบบด้วยบัญชีท้องถิ่น (เหตุการณ์ 4624) ผู้ใช้ที่มีเกียรติเข้าสู่ระบบด้วยบัญชีโดเมน และการระบุการเข้าสู่ระบบภายใต้บัญชีท้องถิ่นอาจหมายถึงการเริ่มต้นของการโจมตี เหตุการณ์ 4624 ยังรวมถึงการเข้าสู่ระบบภายใต้บัญชีโดเมน ดังนั้นเมื่อประมวลผลเหตุการณ์ คุณจะต้องกรองเหตุการณ์ที่โดเมนแตกต่างจากชื่อเวิร์กสเตชันออก
ความพยายามเข้าสู่ระบบด้วยบัญชีที่ระบุ (เหตุการณ์ 4648) สิ่งนี้เกิดขึ้นเมื่อกระบวนการทำงานในโหมด "ทำงานเป็น" สิ่งนี้ไม่ควรเกิดขึ้นระหว่างการทำงานปกติของระบบ ดังนั้นเหตุการณ์ดังกล่าวจึงต้องได้รับการควบคุม
การล็อค/ปลดล็อคเวิร์กสเตชัน (เหตุการณ์ 4800-4803) หมวดหมู่ของเหตุการณ์ที่น่าสงสัยรวมถึงการกระทำใดๆ ที่เกิดขึ้นบนเวิร์กสเตชันที่ถูกล็อค
การเปลี่ยนแปลงการกำหนดค่าไฟร์วอลล์ (เหตุการณ์ 4944-4958) แน่นอนว่าเมื่อติดตั้งซอฟต์แวร์ใหม่ การตั้งค่าไฟร์วอลล์อาจมีการเปลี่ยนแปลง ซึ่งจะทำให้เกิดผลบวกลวง ในกรณีส่วนใหญ่ ไม่จำเป็นต้องควบคุมการเปลี่ยนแปลงดังกล่าว แต่การรู้เกี่ยวกับการเปลี่ยนแปลงเหล่านั้นจะไม่เสียหายอย่างแน่นอน
การเชื่อมต่ออุปกรณ์ Plug'n'play (เหตุการณ์ 6416 และสำหรับ WIndows 10 เท่านั้น) สิ่งสำคัญคือต้องจับตาดูสิ่งนี้หากโดยปกติแล้วผู้ใช้ไม่ได้เชื่อมต่ออุปกรณ์ใหม่เข้ากับเวิร์กสเตชัน แต่จู่ๆ พวกเขาก็เชื่อมต่อ
Windows มีหมวดหมู่การตรวจสอบ 9 หมวดหมู่และหมวดหมู่ย่อย 50 หมวดหมู่สำหรับการปรับแต่งอย่างละเอียด ชุดหมวดหมู่ย่อยขั้นต่ำที่ควรเปิดใช้งานในการตั้งค่า:
เข้าสู่ระบบ / ออกจากระบบ
- เข้าสู่ระบบ;
- ออกจากระบบ;
- การล็อคบัญชี;
- เหตุการณ์การเข้าสู่ระบบ/ออกจากระบบอื่นๆ
การจัดการบัญชี
- การจัดการบัญชีผู้ใช้
- การจัดการกลุ่มความปลอดภัย
การเปลี่ยนแปลงนโยบาย
- การเปลี่ยนแปลงนโยบายการตรวจสอบ
- การเปลี่ยนแปลงนโยบายการรับรองความถูกต้อง
- การเปลี่ยนแปลงนโยบายการอนุญาต
การตรวจสอบระบบ (Sysmon)
Sysmon เป็นยูทิลิตี้ที่ติดตั้งใน Windows ซึ่งสามารถบันทึกเหตุการณ์ในบันทึกของระบบ โดยปกติคุณจะต้องติดตั้งแยกต่างหาก
โดยหลักการแล้ว เหตุการณ์เดียวกันนี้สามารถพบได้ในบันทึกความปลอดภัย (โดยการเปิดใช้งานนโยบายการตรวจสอบที่ต้องการ) แต่ Sysmon ให้รายละเอียดมากกว่า Sysmon สามารถนำเหตุการณ์ใดบ้าง?
การสร้างกระบวนการ (รหัสเหตุการณ์ 1) บันทึกเหตุการณ์ความปลอดภัยของระบบยังสามารถบอกคุณได้ว่า *.exe เริ่มต้นเมื่อใด และยังแสดงชื่อและเส้นทางการเปิดตัวอีกด้วย แต่ต่างจาก Sysmon ตรงที่ไม่สามารถแสดงแฮชของแอปพลิเคชันได้ ซอฟต์แวร์ที่เป็นอันตรายอาจถูกเรียกว่า notepad.exe ที่ไม่เป็นอันตราย แต่เป็นแฮชที่จะเปิดเผยข้อมูล
การเชื่อมต่อเครือข่าย (รหัสเหตุการณ์ 3) แน่นอนว่ามีการเชื่อมต่อเครือข่ายมากมาย และเป็นไปไม่ได้ที่จะติดตามการเชื่อมต่อทั้งหมด แต่สิ่งสำคัญคือต้องพิจารณาว่า Sysmon ต่างจากบันทึกความปลอดภัย ตรงที่สามารถผูกการเชื่อมต่อเครือข่ายกับฟิลด์ ProcessID และ ProcessGUID และแสดงพอร์ตและที่อยู่ IP ของต้นทางและปลายทาง
การเปลี่ยนแปลงในรีจิสทรีของระบบ (รหัสเหตุการณ์ 12-14) วิธีที่ง่ายที่สุดในการเพิ่มตัวคุณเองในการทำงานอัตโนมัติคือการลงทะเบียนในรีจิสทรี บันทึกการรักษาความปลอดภัยสามารถทำได้ แต่ Sysmon จะแสดงให้เห็นว่าใครเป็นผู้ทำการเปลี่ยนแปลง เมื่อใด จากที่ไหน รหัสกระบวนการ และค่าคีย์ก่อนหน้า
การสร้างไฟล์ (รหัสเหตุการณ์ 11) Sysmon ซึ่งแตกต่างจากบันทึกความปลอดภัย ไม่เพียงแต่จะแสดงตำแหน่งของไฟล์ แต่ยังแสดงชื่อด้วย เห็นได้ชัดว่าคุณไม่สามารถติดตามทุกสิ่งได้ แต่คุณสามารถตรวจสอบไดเร็กทอรีบางรายการได้
และตอนนี้สิ่งที่ไม่ได้อยู่ในนโยบายบันทึกความปลอดภัย แต่อยู่ใน Sysmon:
การเปลี่ยนแปลงเวลาสร้างไฟล์ (Event ID 2) มัลแวร์บางตัวสามารถปลอมแปลงวันที่สร้างไฟล์เพื่อซ่อนจากรายงานไฟล์ที่สร้างขึ้นล่าสุด
กำลังโหลดไดรเวอร์และไลบรารีแบบไดนามิก (รหัสเหตุการณ์ 6-7) การตรวจสอบการโหลด DLL และไดรเวอร์อุปกรณ์ลงในหน่วยความจำ ตรวจสอบลายเซ็นดิจิทัลและความถูกต้อง
สร้างเธรดในกระบวนการที่ทำงานอยู่ (รหัสเหตุการณ์ 8) การโจมตีประเภทหนึ่งที่ต้องได้รับการตรวจสอบด้วย
เหตุการณ์ RawAccessRead (รหัสเหตุการณ์ 9) การดำเนินการอ่านดิสก์โดยใช้ “.” ในกรณีส่วนใหญ่ กิจกรรมดังกล่าวควรถือว่าผิดปกติ
สร้างสตรีมไฟล์ที่มีชื่อ (รหัสเหตุการณ์ 15) เหตุการณ์จะถูกบันทึกไว้เมื่อมีการสร้างสตรีมไฟล์ที่มีชื่อซึ่งส่งเสียงเหตุการณ์พร้อมกับแฮชของเนื้อหาของไฟล์
การสร้างไปป์ที่มีชื่อและการเชื่อมต่อ (รหัสเหตุการณ์ 17-18) การติดตามโค้ดที่เป็นอันตรายที่สื่อสารกับส่วนประกอบอื่น ๆ ผ่านทางไปป์ที่มีชื่อ
กิจกรรม WMI (รหัสเหตุการณ์ 19) การลงทะเบียนเหตุการณ์ที่เกิดขึ้นเมื่อเข้าถึงระบบผ่านโปรโตคอล WMI
เพื่อปกป้อง Sysmon เอง คุณต้องตรวจสอบเหตุการณ์ด้วย ID 4 (การหยุดและสตาร์ท Sysmon) และ ID 16 (การเปลี่ยนแปลงการกำหนดค่า Sysmon)
บันทึก Power Shell
Power Shell เป็นเครื่องมืออันทรงพลังสำหรับการจัดการโครงสร้างพื้นฐานของ Windows ดังนั้นจึงมีโอกาสสูงที่ผู้โจมตีจะเลือกใช้ มีสองแหล่งที่มาที่คุณสามารถใช้เพื่อรับข้อมูลเหตุการณ์ Power Shell: บันทึก Windows PowerShell และบันทึก Microsoft-WindowsPowerShell/Operational
บันทึก Windows PowerShell
โหลดผู้ให้บริการข้อมูลแล้ว (รหัสเหตุการณ์ 600) ผู้ให้บริการ PowerShell คือโปรแกรมที่ให้แหล่งข้อมูลสำหรับ PowerShell เพื่อดูและจัดการ ตัวอย่างเช่น ผู้ให้บริการในตัวอาจเป็นตัวแปรสภาพแวดล้อม Windows หรือรีจิสทรีของระบบ การเกิดขึ้นของซัพพลายเออร์รายใหม่จะต้องได้รับการตรวจสอบเพื่อตรวจจับกิจกรรมที่เป็นอันตรายได้ทันเวลา ตัวอย่างเช่น หากคุณเห็น WSMan ปรากฏขึ้นในหมู่ผู้ให้บริการ แสดงว่าเซสชัน PowerShell ระยะไกลได้เริ่มต้นแล้ว
Microsoft-WindowsPowerShell / บันทึกการดำเนินงาน (หรือ MicrosoftWindows-PowerShellCore / การดำเนินงานใน PowerShell 6)
การบันทึกโมดูล (รหัสเหตุการณ์ 4103) เหตุการณ์จัดเก็บข้อมูลเกี่ยวกับแต่ละคำสั่งที่ดำเนินการและพารามิเตอร์ที่ถูกเรียกใช้
การบันทึกการบล็อกสคริปต์ (รหัสเหตุการณ์ 4104) การบันทึกการบล็อกสคริปต์จะแสดงทุกบล็อกของโค้ด PowerShell ที่ดำเนินการ แม้ว่าผู้โจมตีจะพยายามซ่อนคำสั่ง ประเภทเหตุการณ์นี้จะแสดงคำสั่ง PowerShell ที่ถูกดำเนินการจริง เหตุการณ์ประเภทนี้ยังสามารถบันทึกการเรียก API ระดับต่ำที่กำลังดำเนินการได้ เหตุการณ์เหล่านี้มักจะถูกบันทึกเป็นแบบละเอียด แต่หากใช้คำสั่งหรือสคริปต์ที่น่าสงสัยในบล็อกของโค้ด ก็จะถูกบันทึกเป็นระดับความรุนแรงของคำเตือน
โปรดทราบว่าเมื่อกำหนดค่าเครื่องมือให้รวบรวมและวิเคราะห์เหตุการณ์เหล่านี้แล้ว จะต้องใช้เวลาแก้ไขจุดบกพร่องเพิ่มเติมเพื่อลดจำนวนผลบวกลวง
บอกเราในความคิดเห็นว่าคุณรวบรวมบันทึกใดบ้างสำหรับการตรวจสอบความปลอดภัยของข้อมูล และเครื่องมือใดที่คุณใช้ในการดำเนินการนี้ หนึ่งในประเด็นที่เรามุ่งเน้นคือโซลูชันสำหรับการตรวจสอบเหตุการณ์ความปลอดภัยของข้อมูล เพื่อแก้ปัญหาการรวบรวมและวิเคราะห์บันทึก เราสามารถแนะนำให้พิจารณาให้ละเอียดยิ่งขึ้น ซึ่งสามารถบีบอัดข้อมูลที่เก็บไว้ได้ในอัตราส่วน 20:1 และอินสแตนซ์ที่ติดตั้งไว้หนึ่งอินสแตนซ์สามารถประมวลผลเหตุการณ์ได้มากถึง 60000 เหตุการณ์ต่อวินาทีจาก 10000 แหล่งที่มา
ที่มา: will.com