Awọn Tu ti ikede 12 ti Sysmon ti a kede lori Kẹsán 17 ni . Ni otitọ, awọn ẹya tuntun ti Atẹle Ilana ati ProcDump tun ni idasilẹ ni ọjọ yii. Ninu nkan yii Emi yoo sọrọ nipa bọtini ati isọdọtun ariyanjiyan ti ẹya 12 ti Sysmon - iru awọn iṣẹlẹ pẹlu ID iṣẹlẹ 24, ninu eyiti iṣẹ pẹlu agekuru agekuru ti wọle.
Alaye lati iru iṣẹlẹ yii ṣii awọn aye tuntun lati ṣe atẹle iṣẹ ṣiṣe ifura (bakannaa awọn ailagbara tuntun). Nitorinaa, o le loye tani, ibo ati kini gangan ti wọn gbiyanju lati daakọ. Ni isalẹ gige jẹ apejuwe diẹ ninu awọn aaye ti iṣẹlẹ tuntun ati awọn ọran lilo tọkọtaya kan.
Iṣẹlẹ tuntun ni awọn aaye wọnyi:
aworan: ilana lati eyiti a ti kọ data si agekuru.
Ipade: igba ninu eyi ti awọn sileti a ti kọ. O le jẹ eto (0)
nigba ṣiṣẹ lori ayelujara tabi latọna jijin, ati bẹbẹ lọ.
Alaye Onibara: ni orukọ olumulo igba ati, ninu ọran ti igba latọna jijin, orukọ olupin atilẹba ati adiresi IP, ti o ba wa.
Hashes: ṣe ipinnu orukọ faili ninu eyiti o ti fipamọ ọrọ ti o daakọ (bii si ṣiṣẹ pẹlu awọn iṣẹlẹ ti iru FileDelete).
Ti fipamọ: ipo, boya ọrọ lati agekuru agekuru ti wa ni fipamọ ni Sysmon pamosi liana.
Tọkọtaya ti o kẹhin ti awọn aaye jẹ itaniji. Otitọ ni pe lati ẹya 11 Sysmon le (pẹlu awọn eto ti o yẹ) ṣafipamọ ọpọlọpọ awọn data si itọsọna ibi ipamọ rẹ. Fun apẹẹrẹ, ID Iṣẹlẹ ID 23 ṣe igbasilẹ awọn iṣẹlẹ piparẹ faili ati pe o le fi gbogbo wọn pamọ sinu itọsọna ibi ipamọ kanna. Aami CLIP ti wa ni afikun si orukọ awọn faili ti a ṣẹda bi abajade ti ṣiṣẹ pẹlu agekuru agekuru. Awọn faili funrara wọn ni data gangan ti a daakọ si agekuru agekuru naa.
Eyi ni ohun ti faili ti o fipamọ dabi
Fifipamọ si faili ti ṣiṣẹ lakoko fifi sori ẹrọ. O le ṣeto awọn atokọ funfun ti awọn ilana fun eyiti ọrọ kii yoo wa ni fipamọ.
Eyi ni ohun ti fifi sori Sysmon ṣe dabi pẹlu awọn eto itọsọna ibi ipamọ ti o yẹ:
Nibi, Mo ro pe, o tọ lati ranti awọn oluṣakoso ọrọ igbaniwọle ti o tun lo agekuru naa. Nini Sysmon lori eto pẹlu oluṣakoso ọrọ igbaniwọle yoo gba ọ laaye (tabi ikọlu) lati mu awọn ọrọ igbaniwọle wọnyẹn. Ti o ba ro pe o mọ iru ilana ti n pin ọrọ ti a daakọ (ati pe eyi kii ṣe ilana iṣakoso ọrọ igbaniwọle nigbagbogbo, ṣugbọn boya diẹ ninu svchost), imukuro yii le ṣe afikun si atokọ funfun ati kii ṣe fipamọ.
O le ma mọ, ṣugbọn ọrọ lati agekuru agekuru naa jẹ igbasilẹ nipasẹ olupin latọna jijin nigbati o yipada si ni ipo igba RDP. Ti o ba ni nkankan lori agekuru agekuru rẹ ati pe o yipada laarin awọn akoko RDP, alaye naa yoo rin irin-ajo pẹlu rẹ.
Jẹ ki a ṣe akopọ awọn agbara Sysmon fun ṣiṣẹ pẹlu agekuru agekuru.
Ti o wa titi:
- Ẹda ọrọ ti ọrọ ti a fi silẹ nipasẹ RDP ati ni agbegbe;
- Yaworan data lati awọn sileti nipasẹ orisirisi igbesi / ilana;
- Daakọ/lẹẹ ọrọ mọ lati/si ẹrọ foju agbegbe, paapaa ti ọrọ yii ko ba tii lẹẹmọ.
Ko ṣe igbasilẹ:
- Didaakọ / sisẹ awọn faili lati / si ẹrọ foju agbegbe kan;
- Daakọ/lẹẹmọ awọn faili nipasẹ RDP
- malware kan ti o ji paadi agekuru rẹ kọ nikan si agekuru funrarẹ.
Laibikita aibikita rẹ, iru iṣẹlẹ yii yoo gba ọ laaye lati mu algoridimu ikọlu pada ti awọn iṣe ati iranlọwọ ṣe idanimọ data ti ko wọle tẹlẹ fun dida awọn iku lẹhin awọn ikọlu. Ti kikọ akoonu si agekuru agekuru naa ba tun ṣiṣẹ, o ṣe pataki lati ṣe igbasilẹ gbogbo iraye si itọsọna ibi ipamọ ati ṣe idanimọ awọn ti o lewu (kii ṣe ipilẹṣẹ nipasẹ sysmon.exe).
Lati ṣe igbasilẹ, itupalẹ ati fesi si awọn iṣẹlẹ ti a ṣe akojọ loke, o le lo ọpa naa , eyiti o ṣajọpọ gbogbo awọn ọna mẹta ati, ni afikun, jẹ ibi ipamọ aarin ti o munadoko ti gbogbo data aise ti a gba. A le tunto iṣọpọ rẹ pẹlu awọn eto SIEM olokiki lati dinku idiyele ti iwe-aṣẹ wọn nipa gbigbe sisẹ ati ibi ipamọ ti data aise si InTrust.
Lati kọ diẹ sii nipa InTrust, ka awọn nkan wa ti tẹlẹ tabi .
(Nkan ti o gbajumọ)
orisun: www.habr.com