Kullanıcı iş istasyonu bilgi güvenliği açısından altyapının en savunmasız noktasıdır. Kullanıcılar iş e-postalarına güvenli bir kaynaktan geliyormuş gibi görünen ancak virüslü bir siteye bağlantı içeren bir mektup alabilirler. Belki birisi bilinmeyen bir yerden iş için yararlı bir yardımcı program indirecektir. Evet, kötü amaçlı yazılımların kullanıcılar aracılığıyla şirket içi kaynaklara nasıl sızabileceğine dair onlarca örnekle karşılaşabilirsiniz. Bu nedenle iş istasyonlarına daha fazla dikkat edilmesi gerekiyor ve bu yazımızda saldırıları izlemek için nerede ve hangi olayların alınması gerektiğini anlatacağız.
Bir saldırıyı mümkün olan en erken aşamada tespit etmek için WIndows'un üç yararlı olay kaynağı vardır: Güvenlik Olay Günlüğü, Sistem İzleme Günlüğü ve Power Shell Günlükleri.
Güvenlik Olay Günlüğü
Bu, sistem güvenlik günlüklerinin ana depolama konumudur. Buna kullanıcı oturum açma/kapama olayları, nesnelere erişim, politika değişiklikleri ve güvenlikle ilgili diğer etkinlikler dahildir. Elbette uygun politika yapılandırılmışsa.
Kullanıcıların ve grupların numaralandırılması (olay 4798 ve 4799). Bir saldırının en başında, kötü amaçlı yazılım, şüpheli işlerinin kimlik bilgilerini bulmak için genellikle bir iş istasyonundaki yerel kullanıcı hesaplarını ve yerel grupları arar. Bu olaylar, kötü amaçlı kodun ilerlemeden ve toplanan verileri kullanarak diğer sistemlere yayılmadan önce tespit edilmesine yardımcı olacaktır.
Yerel hesap oluşturma ve yerel gruplardaki değişiklikler (olaylar 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 ve 5377). Saldırı, örneğin yerel yöneticiler grubuna yeni bir kullanıcı eklenmesiyle de başlayabilir.
Yerel bir hesapla oturum açma girişimleri (olay 4624). Saygın kullanıcılar bir etki alanı hesabıyla giriş yapar ve yerel bir hesap altında bir girişin belirlenmesi bir saldırının başlaması anlamına gelebilir. Olay 4624 ayrıca bir etki alanı hesabı altındaki oturum açma işlemlerini de içerir; dolayısıyla olayları işlerken etki alanının iş istasyonu adından farklı olduğu olayları filtrelemeniz gerekir.
Belirtilen hesapla oturum açma girişimi (olay 4648). Bu, işlem "farklı çalıştır" modunda çalışırken meydana gelir. Sistemlerin normal çalışması sırasında bu durumun yaşanmaması gerekir, dolayısıyla bu tür olayların kontrol edilmesi gerekir.
İş istasyonunu kilitleme/kilidini açma (olay 4800-4803). Şüpheli olaylar kategorisi, kilitli bir iş istasyonunda meydana gelen tüm eylemleri içerir.
Güvenlik duvarı yapılandırma değişiklikleri (4944-4958 olayları). Açıkçası, yeni yazılım yüklenirken güvenlik duvarı yapılandırma ayarları değişebilir ve bu da hatalı pozitif sonuçlara neden olur. Çoğu durumda bu tür değişiklikleri kontrol etmeye gerek yoktur, ancak bunlar hakkında bilgi sahibi olmanın kesinlikle zararı olmaz.
Tak-çalıştır aygıtlarını bağlama (olay 6416 ve yalnızca Windows 10 için). Kullanıcılar genellikle iş istasyonuna yeni cihazlar bağlamaz ama sonra birdenbire bağlanırsa, buna dikkat etmek önemlidir.
Windows, ince ayar için 9 denetim kategorisi ve 50 alt kategori içerir. Ayarlarda etkinleştirilmesi gereken minimum alt kategori kümesi:
Oturum Açma/Oturumu Kapatma
- Oturum açma;
- Oturumu Kapat;
- Hesap Kilitleme;
- Diğer Oturum Açma/Oturum Kapatma Olayları.
Hesap Yönetimi
- Kullanıcı Hesabı Yönetimi;
- Güvenlik Grubu Yönetimi.
Politika Değişikliği
- Denetim Politikası Değişikliği;
- Kimlik Doğrulama Politikası Değişikliği;
- Yetki Politikası Değişikliği.
Sistem Monitörü (Sysmon)
Sysmon, olayları sistem günlüğüne kaydedebilen, Windows'ta yerleşik bir yardımcı programdır. Genellikle ayrı olarak yüklemeniz gerekir.
Aynı olaylar prensipte güvenlik günlüğünde de bulunabilir (istenen denetim politikası etkinleştirilerek), ancak Sysmon daha fazla ayrıntı sağlar. Sysmon'dan hangi olaylar alınabilir?
İşlem oluşturma (olay kimliği 1). Sistem güvenliği olay günlüğü ayrıca bir *.exe'nin ne zaman başlatıldığını size bildirebilir ve hatta adını ve başlatma yolunu gösterebilir. Ancak Sysmon'un aksine uygulama karmasını gösteremeyecektir. Kötü amaçlı yazılıma zararsız notepad.exe bile denebilir, ancak onu gün ışığına çıkaracak olan karmadır.
Ağ Bağlantıları (Olay Kimliği 3). Açıkçası çok sayıda ağ bağlantısı var ve hepsini takip etmek imkansız. Ancak Sysmon'un, Güvenlik Günlüğü'nden farklı olarak, bir ağ bağlantısını ProcessID ve ProcessGUID alanlarına bağlayabildiğini ve kaynak ile hedefin bağlantı noktasını ve IP adreslerini gösterebildiğini dikkate almak önemlidir.
Sistem kayıt defterindeki değişiklikler (olay kimliği 12-14). Kendinizi otomatik çalıştırmaya eklemenin en kolay yolu kayıt defterine kaydolmaktır. Güvenlik Günlüğü bunu yapabilir ancak Sysmon, değişiklikleri kimin, ne zaman, nereden yaptığını, işlem kimliğini ve önceki anahtar değerini gösterir.
Dosya oluşturma (olay kimliği 11). Sysmon, Güvenlik Günlüğü'nden farklı olarak dosyanın yalnızca konumunu değil aynı zamanda adını da gösterir. Her şeyi takip edemeyeceğiniz açık ama belirli dizinleri denetleyebilirsiniz.
Ve şimdi Güvenlik Günlüğü politikalarında olmayan ancak Sysmon'da olan şey:
Dosya oluşturma zamanının değiştirilmesi (olay kimliği 2). Bazı kötü amaçlı yazılımlar, bir dosyanın oluşturulma tarihini, onu yakın zamanda oluşturulan dosyalara ilişkin raporlardan gizlemek için taklit edebilir.
Sürücüler ve dinamik kitaplıklar yükleniyor (olay kimlikleri 6-7). DLL'lerin ve aygıt sürücülerinin belleğe yüklenmesinin izlenmesi, dijital imzanın ve geçerliliğinin kontrol edilmesi.
Çalışan bir işlemde bir iş parçacığı oluşturun (olay kimliği 8). Ayrıca izlenmesi gereken bir saldırı türü.
RawAccessRead Olayları (Olay Kimliği 9). “.” kullanarak disk okuma işlemleri. Vakaların büyük çoğunluğunda bu tür faaliyetlerin anormal olduğu düşünülmelidir.
Adlandırılmış bir dosya akışı oluşturun (olay kimliği 15). Dosya içeriğinin karmasını içeren olayları yayan adlandırılmış bir dosya akışı oluşturulduğunda bir olay günlüğe kaydedilir.
Adlandırılmış bir kanal ve bağlantı oluşturma (olay kimliği 17-18). Adlandırılmış kanal aracılığıyla diğer bileşenlerle iletişim kuran kötü amaçlı kodun izlenmesi.
WMI etkinliği (olay kimliği 19). WMI protokolü aracılığıyla sisteme erişildiğinde oluşturulan olayların kaydı.
Sysmon'un kendisini korumak için, ID 4 (Sysmon'un durdurulması ve başlatılması) ve ID 16 (Sysmon yapılandırma değişiklikleri) ile olayları izlemeniz gerekir.
Güç Kabuğu Günlükleri
Power Shell, Windows altyapısını yönetmek için güçlü bir araçtır, dolayısıyla bir saldırganın onu seçme şansı yüksektir. Power Shell olay verilerini elde etmek için kullanabileceğiniz iki kaynak vardır: Windows PowerShell günlüğü ve Microsoft-WindowsPowerShell/İşlemsel günlüğü.
Windows PowerShell günlüğü
Veri sağlayıcı yüklendi (olay kimliği 600). PowerShell sağlayıcıları, PowerShell'in görüntülemesi ve yönetmesi için bir veri kaynağı sağlayan programlardır. Örneğin, yerleşik sağlayıcılar Windows ortam değişkenleri veya sistem kayıt defteri olabilir. Kötü niyetli etkinliklerin zamanında tespit edilebilmesi için yeni tedarikçilerin ortaya çıkışının izlenmesi gerekir. Örneğin, sağlayıcılar arasında WSMan'ın göründüğünü görürseniz, uzak bir PowerShell oturumu başlatılmıştır.
Microsoft-WindowsPowerShell / Operasyonel günlük (veya MicrosoftWindows-PowerShellCore / PowerShell 6'da Operasyonel)
Modül günlüğü (olay kimliği 4103). Olaylar, yürütülen her komut ve bu komutun çağrıldığı parametreler hakkındaki bilgileri saklar.
Komut dosyası günlük kaydını engelleme (olay kimliği 4104). Komut dosyası engelleme günlüğü, yürütülen her PowerShell kodu bloğunu gösterir. Saldırgan komutu gizlemeye çalışsa bile bu olay türü gerçekte yürütülen PowerShell komutunu gösterecektir. Bu olay türü ayrıca yapılan bazı düşük seviyeli API çağrılarını da günlüğe kaydedebilir; bu olaylar genellikle Ayrıntılı olarak kaydedilir, ancak bir kod bloğunda şüpheli bir komut veya komut dosyası kullanılırsa, Uyarı önem derecesi olarak günlüğe kaydedilir.
Araç bu olayları toplayacak ve analiz edecek şekilde yapılandırıldıktan sonra hatalı pozitif sayısını azaltmak için ek hata ayıklama süresi gerekeceğini lütfen unutmayın.
Bilgi güvenliği denetimleri için hangi günlükleri topladığınızı ve bunun için hangi araçları kullandığınızı yorumlarda bize bildirin. Odak alanlarımızdan biri bilgi güvenliği olaylarının denetimi için çözümlerdir. Günlükleri toplama ve analiz etme sorununu çözmek için şuraya daha yakından bakmanızı önerebiliriz: Depolanan verileri 20:1 oranında sıkıştırabilen ve kurulu bir örneği, 60000 kaynaktan saniyede 10000'e kadar olayı işleyebilen bir sistemdir.
Kaynak: habr.com