Ushbu maqola Sysmon tahdid tahlili turkumining birinchi qismidir. Seriyaning barcha boshqa qismlari:
1-qism: Sysmon log tahliliga kirish (biz shu yerdamiz)
2-qism: tahdidlarni aniqlash uchun Sysmon voqea ma'lumotlaridan foydalanish
3-qism. Grafiklar yordamida Sysmon tahdidlarini chuqur tahlil qilish
Agar siz axborot xavfsizligi sohasida ishlayotgan bo'lsangiz, ko'pincha davom etayotgan hujumlarni tushunishingiz kerak bo'ladi. Agar sizda allaqachon o'qitilgan ko'z bo'lsa, "xom" ishlov berilmagan jurnallarda nostandart faoliyatni qidirishingiz mumkin, masalan, PowerShell skripti ishlayotgan
Sysmon jurnalida ko'rsatilgan tahdidlar ortidagi asosiy g'oyalarni tushunmoqchimisiz? Qo'llanmamizni yuklab oling
Seriyamizning birinchi qismida biz Sysmon’dan asosiy ma’lumotlar bilan nima qilishingiz mumkinligini ko‘rib chiqamiz. XNUMX-qismda biz tahdid grafiklari deb nomlanuvchi yanada murakkab muvofiqlik tuzilmalarini yaratish uchun ota-ona jarayoni maʼlumotlaridan toʻliq foydalanamiz. Uchinchi qismda biz grafikning "og'irligi" ni tahlil qilish orqali noodatiy faoliyatni qidirish uchun tahdid grafigini skanerdan o'tkazadigan oddiy algoritmni ko'rib chiqamiz. Va oxirida siz tahdidni aniqlashning aniq (va tushunarli) ehtimoliy usuli bilan taqdirlanasiz.
1-qism: Sysmon log tahliliga kirish
Voqealar jurnalining murakkabligini tushunishga nima yordam beradi? Oxir oqibat - SIEM. Bu hodisalarni normallashtiradi va ularning keyingi tahlilini soddalashtiradi. Lekin biz u qadar uzoqqa borishimiz shart emas, hech bo'lmaganda birinchi navbatda. Dastlab, SIEM tamoyillarini tushunish uchun ajoyib bepul Sysmon yordam dasturini sinab ko'rish kifoya qiladi. Va u bilan ishlash hayratlanarli darajada oson. Davom eting, Microsoft!
Sysmon qanday xususiyatlarga ega?
Qisqasi - jarayonlar haqida foydali va o'qilishi mumkin bo'lgan ma'lumotlar (quyidagi rasmlarga qarang). Siz Windows Voqealar jurnalida mavjud bo'lmagan bir qancha foydali ma'lumotlarni topasiz, lekin eng muhimi quyidagi maydonlardir:
- Jarayon identifikatori (onlik emas, o'nlik bilan!)
- Asosiy jarayon identifikatori
- Buyruqlar qatorini qayta ishlash
- Asosiy jarayonning buyruq qatori
- Fayl tasviri xeshi
- Fayl tasvir nomlari
Sysmon ham qurilma drayveri, ham xizmat sifatida o'rnatiladi - batafsil ma'lumot
Sysmon asosiy jarayonlarni tushunishga yordam berish uchun foydali (yoki sotuvchilar aytganidek, harakat qilish mumkin) ma'lumotlarni taqdim etish orqali kvant sakrashini amalga oshiradi. Misol uchun, men yashirin sessiya boshladim
Windows jurnali jarayon haqida ba'zi ma'lumotlarni ko'rsatadi, ammo unchalik foydali emas. Plus protsessor identifikatorlari o'n oltilik tizimda ???
Xakerlik asoslarini tushunadigan professional IT mutaxassisi uchun buyruq qatori shubhali bo'lishi kerak. Keyin boshqa buyruqni ishga tushirish va chiqishni g'alati nomli faylga yo'naltirish uchun cmd.exe dan foydalanish monitoring va nazorat qilish dasturining harakatlariga aniq o'xshaydi.
Keling, Sysmon kirish ekvivalentini ko'rib chiqamiz va u bizga qancha qo'shimcha ma'lumot beradi:
Sysmon xususiyatlari bitta skrinshotda: jarayon haqida batafsil ma'lumot o'qilishi mumkin bo'lgan shaklda
Siz nafaqat buyruq qatorini, balki fayl nomini, bajariladigan dasturga yo'lni, Windows bu haqda biladigan narsalarni ("Windows Buyruqlar Protsessori"), identifikatorni ham ko'rasiz. ota-ona jarayon, buyruq qatori ota -ona, cmd qobig'ini ishga tushirgan, shuningdek, asosiy jarayonning haqiqiy fayl nomi. Hammasi bir joyda, nihoyat!
Sysmon jurnalidan xulosa qilishimiz mumkinki, yuqori ehtimollik bilan biz "xom" jurnallarda ko'rgan ushbu shubhali buyruq qatori xodimning oddiy ishi natijasi emas. Aksincha, u C2-ga o'xshash jarayon - yuqorida aytib o'tganimdek, wmiexec tomonidan yaratilgan va bevosita WMI xizmat ko'rsatish jarayoni (WmiPrvSe) tomonidan yaratilgan. Endi bizda uzoqdan tajovuzkor yoki insayder korporativ infratuzilmani sinovdan o'tkazayotgani haqida indikator bor.
Get-Sysmonlogs bilan tanishtirish
Albatta, Sysmon jurnallarni bir joyga qo'yganida juda yaxshi. Ammo, ehtimol, agar biz alohida jurnal maydonlariga dasturiy ravishda - masalan, PowerShell buyruqlari orqali kira olsak, yanada yaxshi bo'lar edi. Bunday holda siz potentsial tahdidlarni qidirishni avtomatlashtiradigan kichik PowerShell skriptini yozishingiz mumkin!
Menda bunday fikr birinchi bo'lmagan. Va ba'zi forumlarda va GitHub xabarlarida bu yaxshi
Birinchi muhim jihat - bu jamoaning qobiliyati
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Agar siz buyruqni o'zingiz sinab ko'rmoqchi bo'lsangiz, $events massivining birinchi elementi, $events[0].Message tarkibini ko'rsatish orqali chiqish juda oddiy formatga ega bo'lgan bir qator matn satrlari bo'lishi mumkin: fayl nomi. Sysmon maydoni, ikki nuqta, so'ngra qiymatning o'zi.
Xayr! Sysmon logini JSON-tayyor formatga chiqarish
Siz men bilan bir xil narsani o'ylaysizmi? Bir oz ko'proq kuch sarflab, siz chiqishni JSON formatidagi satrga o'zgartirishingiz va kuchli buyruq yordamida uni to'g'ridan-to'g'ri PS ob'ektiga yuklashingiz mumkin.
Men konvertatsiya qilish uchun PowerShell kodini ko'rsataman - bu juda oddiy - keyingi qismda. Hozircha men PS moduli sifatida oʻrnatgan get-sysmonlogs deb nomlangan yangi buyrugʻim nima qila olishini koʻrib chiqamiz.
Noqulay hodisalar jurnali interfeysi orqali Sysmon jurnalining tahliliga chuqur sho'ng'ish o'rniga, biz PowerShell seansidan to'g'ridan-to'g'ri qo'shimcha faollikni osongina qidirishimiz, shuningdek, PS buyrug'idan foydalanishimiz mumkin.
WMI orqali ishga tushirilgan cmd qobiqlari ro'yxati. O'z Get-Sysmonlogs jamoasi bilan arzon narxlarda tahdidlarni tahlil qilish
Ajoyib! Men Sysmon jurnalini ma'lumotlar bazasi kabi so'rov qilish uchun vosita yaratdim. Haqida bizning maqolamizda
Sysmon va grafik tahlili
Keling, orqaga chekinamiz va biz yaratgan narsalar haqida o'ylaymiz. Aslida, bizda PowerShell orqali kirish mumkin bo'lgan Windows voqealar ma'lumotlar bazasi mavjud. Yuqorida aytib o'tganimdek, yozuvlar o'rtasida ParentProcessId orqali bog'lanish yoki munosabatlar mavjud, shuning uchun jarayonlarning to'liq ierarxiyasini olish mumkin.
Agar siz serialni o'qigan bo'lsangiz
Lekin mening Get-Sysmonlogs buyrug'im va matnda keyinroq ko'rib chiqamiz qo'shimcha ma'lumotlar tuzilmasi (albatta, grafik) bilan bizda tahdidlarni aniqlashning amaliy usuli bor - bu faqat to'g'ri cho'qqilarni qidirishni talab qiladi.
Har doimgidek, bizning DYI blog loyihalarida bo'lgani kabi, siz tahdidlar tafsilotlarini kichik miqyosda tahlil qilish ustida qanchalik ko'p ishlasangiz, korporativ darajada tahdidlarni aniqlash qanchalik murakkab ekanligini tushunasiz. Va bu xabardorlik juda katta muhim nuqta.
Biz maqolaning ikkinchi qismida birinchi qiziqarli asoratlarga duch kelamiz, bu erda biz Sysmon hodisalarini bir-biri bilan ancha murakkab tuzilmalarga bog'lashni boshlaymiz.
Manba: www.habr.com