Foydalanuvchi ish stantsiyasi axborot xavfsizligi nuqtai nazaridan infratuzilmaning eng zaif nuqtasidir. Foydalanuvchilar o'zlarining ish elektron pochtalariga xavfsiz manbadan kelgan, ammo zararlangan saytga havola bilan xat olishlari mumkin. Ehtimol, kimdir noma'lum joydan ish uchun foydali yordamchi dasturni yuklab oladi. Ha, zararli dastur foydalanuvchilar orqali korporativ resurslarga qanday qilib kirib borishi haqida o'nlab holatlar bilan tanishishingiz mumkin. Shuning uchun, ish stantsiyalari ko'proq e'tibor talab qiladi va ushbu maqolada biz sizga hujumlarni kuzatish uchun qayerda va qanday hodisalarni o'tkazish kerakligini aytib beramiz.
Hujumni imkon qadar erta bosqichda aniqlash uchun Windows-da uchta foydali hodisa manbalari mavjud: Xavfsizlik hodisalari jurnali, tizim monitoringi jurnali va Power Shell jurnallari.
Xavfsizlik hodisalari jurnali
Bu tizim xavfsizlik jurnallari uchun asosiy saqlash joyidir. Bunga foydalanuvchining kirish/chiqish hodisalari, ob'ektlarga kirish, siyosat o'zgarishlari va boshqa xavfsizlik bilan bog'liq harakatlar kiradi. Albatta, agar tegishli siyosat sozlangan bo'lsa.
Foydalanuvchilar va guruhlar ro'yxati (4798 va 4799-hodisalar). Hujumning boshida zararli dastur ko'pincha mahalliy foydalanuvchi hisoblari va ish stantsiyasidagi mahalliy guruhlar orqali o'zining yashirin operatsiyalari uchun hisob ma'lumotlarini qidiradi. Ushbu hodisalar zararli kodni harakatlanishdan oldin aniqlashga yordam beradi va to'plangan ma'lumotlardan foydalanib, boshqa tizimlarga tarqaladi.
Mahalliy hisobni yaratish va mahalliy guruhlardagi o'zgarishlar (hodisalar 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 va 5377). Hujum, masalan, mahalliy ma'murlar guruhiga yangi foydalanuvchi qo'shish orqali ham boshlanishi mumkin.
Mahalliy hisob bilan kirishga urinishlar (4624-hodisalar). Hurmatli foydalanuvchilar domen hisobi bilan tizimga kirishadi va mahalliy hisob ostida loginni aniqlash hujumning boshlanishini anglatishi mumkin. Voqea 4624 shuningdek, domen hisobi ostidagi loginlarni ham o'z ichiga oladi, shuning uchun voqealarni qayta ishlashda siz domen ish stantsiyasi nomidan farq qiladigan hodisalarni filtrlashingiz kerak.
Belgilangan hisob qaydnomasi bilan tizimga kirishga urinish (4648-hodisa). Bu jarayon "boshqacha ishga tushirish" rejimida ishlayotganida sodir bo'ladi. Tizimlarning normal ishlashi paytida bu sodir bo'lmasligi kerak, shuning uchun bunday hodisalar nazorat qilinishi kerak.
Ish stantsiyasini qulflash/qulfdan chiqarish (4800-4803 hodisalari). Shubhali hodisalar toifasiga qulflangan ish stantsiyasida sodir bo'lgan har qanday harakatlar kiradi.
Xavfsizlik devori konfiguratsiyasi o'zgarishi (4944-4958 hodisalari). Shubhasiz, yangi dasturiy ta'minotni o'rnatishda xavfsizlik devori konfiguratsiya sozlamalari o'zgarishi mumkin, bu noto'g'ri pozitivlarga olib keladi. Aksariyat hollarda bunday o'zgarishlarni nazorat qilishning hojati yo'q, lekin ular haqida bilish, albatta, zarar qilmaydi.
Plug'n'play qurilmalarini ulash (voqea 6416 va faqat Windows 10 uchun). Agar foydalanuvchilar odatda yangi qurilmalarni ish stantsiyasiga ulamasalar, lekin birdaniga ular buni kuzatib borish muhimdir.
Windows 9 ta audit toifasini va nozik sozlash uchun 50 ta kichik toifani o'z ichiga oladi. Sozlamalarda yoqilishi kerak bo'lgan minimal kichik toifalar to'plami:
Kirish / chiqish
- Tizimga kirish;
- Tizimdan chiqish;
- Hisobni blokirovka qilish;
- Boshqa tizimga kirish/chiqish hodisalari.
Hisobni boshqarish
- Foydalanuvchi hisobini boshqarish;
- Xavfsizlik guruhini boshqarish.
Siyosat o'zgarishi
- Audit siyosatini o'zgartirish;
- Autentifikatsiya siyosatini o'zgartirish;
- Avtorizatsiya siyosatini o'zgartirish.
Tizim monitori (Sysmon)
Sysmon - bu Windows-ga o'rnatilgan yordamchi dastur bo'lib, u tizim jurnalida voqealarni yozib olishi mumkin. Odatda siz uni alohida o'rnatishingiz kerak.
Xuddi shu hodisalarni, qoida tariqasida, xavfsizlik jurnalida topish mumkin (kerakli audit siyosatini yoqish orqali), lekin Sysmon batafsilroq ma'lumot beradi. Sysmon'dan qanday voqealarni olish mumkin?
Jarayonni yaratish (hodisa ID 1). Tizim xavfsizligi hodisalari jurnali sizga *.exe fayli qachon boshlanganini va hatto uning nomi va ishga tushirish yo'lini ko'rsatishi mumkin. Ammo Sysmondan farqli o'laroq, u dastur xeshini ko'rsata olmaydi. Zararli dasturiy ta'minotni hatto zararsiz notepad.exe deb ham atash mumkin, ammo bu xesh uni yoritishga olib keladi.
Tarmoq ulanishlari (hodisa ID 3). Shubhasiz, tarmoq ulanishlari juda ko'p va ularning barchasini kuzatib borishning iloji yo'q. Ammo shuni hisobga olish kerakki, Sysmon Security Log-dan farqli o'laroq, tarmoq ulanishini ProcessID va ProcessGUID maydonlariga bog'lashi va manba va maqsadning port va IP manzillarini ko'rsatishi mumkin.
Tizim registridagi o'zgarishlar (hodisalar identifikatori 12-14). O'zingizni autorunga qo'shishning eng oson yo'li - ro'yxatga olish kitobida ro'yxatdan o'tish. Xavfsizlik jurnali buni amalga oshirishi mumkin, lekin Sysmon o'zgarishlarni kim, qachon, qaerdan, jarayon identifikatori va oldingi kalit qiymatini ko'rsatadi.
Fayl yaratish (hodisa ID 11). Sysmon, Security Log'dan farqli o'laroq, nafaqat faylning joylashishini, balki uning nomini ham ko'rsatadi. Siz hamma narsani kuzatib bo'lmasligingiz aniq, lekin siz ba'zi kataloglarni tekshirishingiz mumkin.
Va endi nima Xavfsizlik jurnali siyosatlarida emas, balki Sysmonda:
Fayl yaratish vaqtini o'zgartirish (voqea identifikatori 2). Ba'zi zararli dasturlar faylni yaqinda yaratilgan fayllar hisobotlaridan yashirish uchun uning yaratilish sanasini soxtalashtirishi mumkin.
Drayvlar va dinamik kutubxonalar yuklanmoqda (voqea identifikatorlari 6-7). DLL va qurilma drayverlarining xotiraga yuklanishini kuzatish, raqamli imzo va uning amal qilish muddatini tekshirish.
Ishlayotgan jarayonda ip yarating (hodisa ID 8). Shuningdek, kuzatilishi kerak bo'lgan hujumning bir turi.
RawAccessRead hodisalari (voqea ID 9). “.” yordamida diskni o'qish operatsiyalari. Aksariyat hollarda bunday faoliyatni g'ayritabiiy deb hisoblash kerak.
Nomlangan fayl oqimini yarating (hodisa ID 15). Voqea fayl mazmuni xeshli hodisalarni chiqaradigan nomli fayl oqimi yaratilganda qayd qilinadi.
Nomlangan quvur va ulanishni yaratish (hodisa ID 17-18). Nomlangan quvur orqali boshqa komponentlar bilan aloqa qiladigan zararli kodni kuzatish.
WMI faoliyati (hodisa ID 19). WMI protokoli orqali tizimga kirishda hosil bo'ladigan hodisalarni ro'yxatga olish.
Sysmonning o'zini himoya qilish uchun siz ID 4 (Sysmon to'xtatilishi va ishga tushirilishi) va ID 16 (Sysmon konfiguratsiyasi o'zgarishi) bilan hodisalarni kuzatishingiz kerak.
Power Shell jurnallari
Power Shell - bu Windows infratuzilmasini boshqarish uchun kuchli vosita, shuning uchun tajovuzkor uni tanlashi ehtimoli yuqori. Power Shell hodisasi ma'lumotlarini olish uchun ikkita manbadan foydalanishingiz mumkin: Windows PowerShell jurnali va Microsoft-WindowsPowerShell/Operatsion jurnali.
Windows PowerShell jurnali
Maʼlumot provayderi yuklandi (voqea ID 600). PowerShell provayderlari PowerShell uchun ko'rish va boshqarish uchun ma'lumotlar manbasini ta'minlovchi dasturlardir. Masalan, o'rnatilgan provayderlar Windows muhit o'zgaruvchilari yoki tizim registrlari bo'lishi mumkin. Zararli faoliyatni o'z vaqtida aniqlash uchun yangi etkazib beruvchilarning paydo bo'lishini kuzatib borish kerak. Masalan, provayderlar orasida WSMan paydo bo'layotganini ko'rsangiz, masofaviy PowerShell seansi boshlangan.
Microsoft-WindowsPowerShell / Operatsion jurnali (yoki PowerShell 6 da MicrosoftWindows-PowerShellCore / Operatsion)
Modul jurnali (hodisa ID 4103). Voqealar har bir bajarilgan buyruq va u chaqirilgan parametrlar haqidagi ma'lumotlarni saqlaydi.
Skriptni blokirovka qilish jurnali (hodisa ID 4104). Skriptni blokirovka qilish jurnali bajarilgan PowerShell kodining har bir blokini ko'rsatadi. Agar tajovuzkor buyruqni yashirishga harakat qilsa ham, ushbu hodisa turi aslida bajarilgan PowerShell buyrug'ini ko'rsatadi. Ushbu hodisa turi amalga oshirilayotgan ba'zi past darajadagi API qo'ng'iroqlarini ham qayd etishi mumkin, bu hodisalar odatda Verbose sifatida qayd etiladi, lekin kod blokida shubhali buyruq yoki skript ishlatilsa, u Ogohlantirish jiddiyligi sifatida qayd qilinadi.
Iltimos, shuni esda tutingki, vosita ushbu hodisalarni to'plash va tahlil qilish uchun sozlangandan so'ng, noto'g'ri pozitivlar sonini kamaytirish uchun qo'shimcha tuzatish vaqti talab qilinadi.
Axborot xavfsizligi auditi uchun qanday jurnallarni to'playotganingizni va buning uchun qanday vositalardan foydalanayotganingizni izohlarda bizga ayting. Bizning yo'nalishlarimizdan biri axborot xavfsizligi hodisalarini tekshirish bo'yicha yechimlardir. Jurnallarni yig'ish va tahlil qilish muammosini hal qilish uchun biz batafsilroq ko'rib chiqishni taklif qilishimiz mumkin , bu saqlangan ma'lumotlarni 20:1 nisbatda siqib chiqarishi mumkin va uning bitta o'rnatilgan nusxasi 60000 10000 manbadan soniyasiga XNUMX XNUMX tagacha hodisani qayta ishlashga qodir.
Manba: www.habr.com