Ang workstation ng gumagamit ay ang pinaka-mahina na punto ng imprastraktura sa mga tuntunin ng seguridad ng impormasyon. Maaaring makatanggap ang mga user ng sulat sa kanilang email sa trabaho na mukhang mula sa isang ligtas na pinagmulan, ngunit may link sa isang nahawaang site. Marahil ay may magda-download ng utility na kapaki-pakinabang para sa trabaho mula sa hindi kilalang lokasyon. Oo, maaari kang makabuo ng dose-dosenang mga kaso kung paano maaaring makalusot ang malware sa mga panloob na mapagkukunan ng kumpanya sa pamamagitan ng mga user. Samakatuwid, ang mga workstation ay nangangailangan ng mas mataas na atensyon, at sa artikulong ito sasabihin namin sa iyo kung saan at anong mga kaganapan ang dapat gawin upang masubaybayan ang mga pag-atake.
Upang matukoy ang isang pag-atake sa pinakamaagang posibleng yugto, ang WIndows ay may tatlong kapaki-pakinabang na mapagkukunan ng kaganapan: ang Log ng Kaganapan ng Seguridad, ang Log ng Pagsubaybay ng System, at ang Mga Log ng Power Shell.
Log ng Kaganapan sa Seguridad
Ito ang pangunahing lokasyon ng imbakan para sa mga log ng seguridad ng system. Kabilang dito ang mga kaganapan ng pag-log in/pag-logout ng user, pag-access sa mga bagay, pagbabago sa patakaran, at iba pang aktibidad na nauugnay sa seguridad. Siyempre, kung ang naaangkop na patakaran ay na-configure.
Pagbilang ng mga user at grupo (mga kaganapan 4798 at 4799). Sa simula pa lang ng isang pag-atake, madalas na naghahanap ang malware sa pamamagitan ng mga lokal na user account at lokal na grupo sa isang workstation upang makahanap ng mga kredensyal para sa malilim na pakikitungo nito. Ang mga kaganapang ito ay makakatulong sa pag-detect ng malisyosong code bago ito magpatuloy at, gamit ang nakolektang data, kumalat sa iba pang mga system.
Paglikha ng isang lokal na account at mga pagbabago sa mga lokal na grupo (mga kaganapan 4720, 4722β4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 at 5377). Maaari ding magsimula ang pag-atake, halimbawa, sa pamamagitan ng pagdaragdag ng bagong user sa grupo ng mga lokal na administrator.
Mga pagtatangka sa pag-log in gamit ang isang lokal na account (kaganapan 4624). Ang mga kagalang-galang na user ay nag-log in gamit ang isang domain account, at ang pagtukoy sa isang login sa ilalim ng isang lokal na account ay maaaring mangahulugan ng pagsisimula ng isang pag-atake. Kasama rin sa Event 4624 ang mga login sa ilalim ng domain account, kaya kapag nagpoproseso ng mga event, kailangan mong i-filter ang mga event kung saan iba ang domain sa pangalan ng workstation.
Isang pagtatangkang mag-log in gamit ang tinukoy na account (kaganapan 4648). Nangyayari ito kapag tumatakbo ang proseso sa mode na "run as". Hindi ito dapat mangyari sa panahon ng normal na operasyon ng mga system, kaya dapat kontrolin ang mga naturang kaganapan.
Pag-lock/pag-unlock ng workstation (mga kaganapan 4800-4803). Kasama sa kategorya ng mga kahina-hinalang kaganapan ang anumang pagkilos na naganap sa isang naka-lock na workstation.
Mga pagbabago sa configuration ng firewall (mga kaganapan 4944-4958). Malinaw, kapag nag-i-install ng bagong software, maaaring magbago ang mga setting ng configuration ng firewall, na magdudulot ng mga maling positibo. Sa karamihan ng mga kaso, hindi na kailangang kontrolin ang mga naturang pagbabago, ngunit tiyak na hindi masasaktan na malaman ang tungkol sa mga ito.
Pagkonekta ng mga Plug'n'play na device (kaganapan 6416 at para lang sa Windows 10). Mahalagang bantayan ito kung ang mga user ay karaniwang hindi nagkokonekta ng mga bagong device sa workstation, ngunit pagkatapos ay bigla nilang ginagawa.
Kasama sa Windows ang 9 na kategorya ng pag-audit at 50 subcategory para sa fine-tuning. Ang minimum na hanay ng mga subcategory na dapat paganahin sa mga setting:
Logon / Logoff
- Mag-log sa;
- Maglog-off;
- Lockout ng Account;
- Iba pang Logon/Logoff Events.
Pamamahala ng Account
- Pamamahala ng User Account;
- Pamamahala ng Security Group.
Pagbabago ng Patakaran
- Pagbabago sa Patakaran sa Pag-audit;
- Pagbabago sa Patakaran sa Pagpapatotoo;
- Pagbabago sa Patakaran sa Pagpapahintulot.
System Monitor (Sysmon)
Ang Sysmon ay isang utility na binuo sa Windows na maaaring magtala ng mga kaganapan sa log ng system. Karaniwan kailangan mong i-install ito nang hiwalay.
Ang parehong mga kaganapan ay maaaring, sa prinsipyo, ay matatagpuan sa log ng seguridad (sa pamamagitan ng pagpapagana ng nais na patakaran sa pag-audit), ngunit ang Sysmon ay nagbibigay ng higit pang detalye. Anong mga kaganapan ang maaaring makuha mula sa Sysmon?
Proseso ng paggawa (event ID 1). Ang log ng kaganapan sa seguridad ng system ay maaari ding sabihin sa iyo kung kailan nagsimula ang isang *.exe at kahit na ipakita ang pangalan at landas ng paglulunsad nito. Ngunit hindi tulad ng Sysmon, hindi nito maipakita ang hash ng application. Ang nakakahamak na software ay maaaring tawaging hindi nakakapinsalang notepad.exe, ngunit ang hash ang magdadala nito sa maliwanag.
Mga Koneksyon sa Network (Event ID 3). Malinaw, maraming mga koneksyon sa network, at imposibleng subaybayan silang lahat. Ngunit mahalagang isaalang-alang na ang Sysmon, hindi tulad ng Security Log, ay maaaring magbigkis ng koneksyon sa network sa ProcessID at ProcessGUID na mga patlang, at nagpapakita ng port at mga IP address ng pinagmulan at patutunguhan.
Mga pagbabago sa system registry (event ID 12-14). Ang pinakamadaling paraan upang idagdag ang iyong sarili sa autorun ay ang magparehistro sa registry. Magagawa ito ng Log ng Seguridad, ngunit ipinapakita ng Sysmon kung sino ang gumawa ng mga pagbabago, kailan, mula saan, iproseso ang ID at ang dating halaga ng key.
Paggawa ng file (event ID 11). Ang Sysmon, hindi tulad ng Security Log, ay ipapakita hindi lamang ang lokasyon ng file, kundi pati na rin ang pangalan nito. Malinaw na hindi mo masusubaybayan ang lahat, ngunit maaari mong i-audit ang ilang mga direktoryo.
At ngayon kung ano ang wala sa mga patakaran sa Security Log, ngunit nasa Sysmon:
Pagbabago ng oras ng paggawa ng file (event ID 2). Ang ilang malware ay maaaring madaya ang petsa ng paggawa ng file upang itago ito mula sa mga ulat ng mga kamakailang ginawang file.
Naglo-load ng mga driver at dynamic na library (mga event ID 6-7). Pagsubaybay sa paglo-load ng mga DLL at device driver sa memorya, pagsuri sa digital signature at validity nito.
Gumawa ng thread sa isang tumatakbong proseso (event ID 8). Isang uri ng pag-atake na kailangan ding subaybayan.
RawAccessRead Events (Event ID 9). Mga operasyon sa pagbasa ng disk gamit ang ".". Sa karamihan ng mga kaso, ang ganitong aktibidad ay dapat ituring na abnormal.
Gumawa ng pinangalanang file stream (event ID 15). Ang isang kaganapan ay naka-log kapag ang isang pinangalanang file stream ay nilikha na naglalabas ng mga kaganapan na may isang hash ng mga nilalaman ng file.
Paglikha ng pinangalanang pipe at koneksyon (event ID 17-18). Pagsubaybay sa malisyosong code na nakikipag-ugnayan sa iba pang mga bahagi sa pamamagitan ng pinangalanang pipe.
Aktibidad ng WMI (event ID 19). Pagpaparehistro ng mga kaganapan na nabuo kapag ina-access ang system sa pamamagitan ng WMI protocol.
Para protektahan ang Sysmon mismo, kailangan mong subaybayan ang mga kaganapan na may ID 4 (Sysmon stopping and starting) at ID 16 (Sysmon configuration changes).
Mga Log ng Power Shell
Ang Power Shell ay isang mahusay na tool para sa pamamahala ng imprastraktura ng Windows, kaya malaki ang posibilidad na pipiliin ito ng isang umaatake. Mayroong dalawang mapagkukunan na magagamit mo upang makakuha ng data ng kaganapan ng Power Shell: Windows PowerShell log at Microsoft-WindowsPowerShell/Operational log.
Log ng Windows PowerShell
Na-load ang provider ng data (event ID 600). Ang mga PowerShell provider ay mga program na nagbibigay ng pinagmumulan ng data para tingnan at pamahalaan ng PowerShell. Halimbawa, ang mga built-in na provider ay maaaring mga variable ng kapaligiran ng Windows o ang system registry. Ang paglitaw ng mga bagong supplier ay dapat na subaybayan upang makita ang malisyosong aktibidad sa oras. Halimbawa, kung nakikita mong lumalabas ang WSman sa mga provider, nagsimula na ang isang remote na session ng PowerShell.
Microsoft-WindowsPowerShell / Operational log (o MicrosoftWindows-PowerShellCore / Operational sa PowerShell 6)
Module logging (event ID 4103). Ang mga kaganapan ay nag-iimbak ng impormasyon tungkol sa bawat nai-execute na command at ang mga parameter kung saan ito tinawag.
Pag-log ng pagharang ng script (event ID 4104). Ipinapakita ng Script blocking logging ang bawat block ng PowerShell code na naisakatuparan. Kahit na sinubukan ng isang attacker na itago ang command, ipapakita ng ganitong uri ng event ang PowerShell command na aktwal na naisakatuparan. Ang ganitong uri ng kaganapan ay maaari ding mag-log ng ilang mababang antas ng mga tawag sa API na ginagawa, ang mga kaganapang ito ay karaniwang naitala bilang Verbose, ngunit kung ang isang kahina-hinalang command o script ay ginamit sa isang bloke ng code, ito ay ila-log bilang isang Babala kalubhaan.
Pakitandaan na kapag na-configure na ang tool upang kolektahin at pag-aralan ang mga kaganapang ito, kakailanganin ng karagdagang oras ng pag-debug upang bawasan ang bilang ng mga maling positibo.
Sabihin sa amin sa mga komento kung anong mga log ang kinokolekta mo para sa pag-audit ng seguridad ng impormasyon at kung anong mga tool ang ginagamit mo para dito. Isa sa aming pinagtutuunan ng pansin ay ang mga solusyon para sa pag-audit ng mga kaganapan sa seguridad ng impormasyon. Upang malutas ang problema sa pagkolekta at pagsusuri ng mga log, maaari naming imungkahi na tingnang mabuti , na maaaring mag-compress ng naka-imbak na data na may ratio na 20:1, at ang isang naka-install na instance nito ay may kakayahang magproseso ng hanggang 60000 event kada segundo mula sa 10000 source.
Pinagmulan: www.habr.com