在信息安全方面,用户工作站是基础设施中最脆弱的点。 用户的工作电子邮件可能会收到一封看似来自安全来源的信件,但其中包含指向受感染网站的链接。 也许有人会从未知位置下载对工作有用的实用程序。 是的,您可以举出几十个恶意软件如何通过用户渗透到公司内部资源的案例。 因此,工作站需要更多的关注,在本文中,我们将告诉您在何处以及采取哪些事件来监控攻击。
为了尽早检测攻击,WIndows 提供了三个有用的事件源:安全事件日志、系统监控日志和 Power Shell 日志。
安全事件日志
这是系统安全日志的主要存储位置。 这包括用户登录/注销、对象访问、策略更改和其他安全相关活动的事件。 当然,如果配置了合适的策略。
用户和组的枚举(事件 4798 和 4799)。 在攻击一开始,恶意软件通常会搜索工作站上的本地用户帐户和本地组,以查找其不正当交易的凭据。 这些事件将有助于在恶意代码继续移动并使用收集到的数据传播到其他系统之前检测到该代码。
创建本地帐户和更改本地组(事件 4720、4722–4726、4738、4740、4767、4780、4781、4794、5376 和 5377)。 例如,攻击也可以通过向本地管理员组添加新用户来开始。
尝试使用本地帐户登录(事件 4624)。 受人尊敬的用户使用域帐户登录,识别本地帐户下的登录可能意味着攻击的开始。 事件4624还包括域帐户下的登录,因此在处理事件时,需要过滤掉域与工作站名称不同的事件。
尝试使用指定帐户登录(事件 4648)。 当进程以“运行方式”模式运行时会发生这种情况。 在系统正常运行期间,这种情况不应该发生,因此必须控制此类事件。
锁定/解锁工作站(事件 4800-4803)。 可疑事件类别包括锁定工作站上发生的任何操作。
防火墙配置更改(事件 4944-4958)。 显然,在安装新软件时,防火墙配置设置可能会发生变化,这会导致误报。 在大多数情况下,没有必要控制这些变化,但了解它们绝对不会有什么坏处。
连接即插即用设备(事件 6416,仅适用于 WIndows 10)。 如果用户通常不将新设备连接到工作站,但突然间却将其连接到工作站,则务必要密切关注这一点。
Windows 包括 9 个审核类别和 50 个用于微调的子类别。 应在设置中启用的最小子类别集:
登录/注销
- 登录;
- 注销;
- 账户锁定;
- 其他登录/注销事件。
账户管理
- 用户账户管理;
- 安全组管理。
政策变更
- 审计政策变更;
- 身份验证策略变更;
- 授权政策变更。
系统监视器(Sysmon)
Sysmon 是 Windows 内置的实用程序,可以在系统日志中记录事件。 通常您需要单独安装它。
原则上,可以在安全日志中找到这些相同的事件(通过启用所需的审核策略),但 Sysmon 提供了更多详细信息。 可以从 Sysmon 获取哪些事件?
流程创建(事件 ID 1)。 系统安全事件日志还可以告诉您 *.exe 何时启动,甚至显示其名称和启动路径。 但与 Sysmon 不同的是,它无法显示应用程序哈希。 恶意软件甚至可能被称为无害的 notepad.exe,但正是哈希值将其暴露。
网络连接(事件 ID 3)。 显然,存在大量网络连接,并且不可能跟踪所有网络连接。 但重要的是要考虑到,与安全日志不同,Sysmon 可以将网络连接绑定到 ProcessID 和 ProcessGUID 字段,并显示源和目标的端口和 IP 地址。
系统注册表中的更改(事件 ID 12-14)。 将自己添加到自动运行的最简单方法是在注册表中注册。 安全日志可以做到这一点,但 Sysmon 会显示谁进行了更改、何时、从何处、进程 ID 和之前的键值。
文件创建(事件 ID 11)。 Sysmon 与安全日志不同,它不仅会显示文件的位置,还会显示文件的名称。 很明显,您无法跟踪所有内容,但您可以审核某些目录。
现在安全日志策略中没有,但在 Sysmon 中:
文件创建时间更改(事件 ID 2)。 某些恶意软件可以欺骗文件的创建日期,以将其隐藏在最近创建的文件的报告中。
加载驱动程序和动态库(事件 ID 6-7)。 监视 DLL 和设备驱动程序加载到内存中,检查数字签名及其有效性。
在正在运行的进程中创建一个线程(事件 ID 8)。 也需要监控的一种攻击类型。
RawAccessRead 事件(事件 ID 9)。 磁盘读操作使用“.”。 在绝大多数情况下,此类活动应被视为异常。
创建命名文件流(事件 ID 15)。 当创建一个命名文件流并发出带有文件内容哈希值的事件时,就会记录一个事件。
创建命名管道和连接(事件 ID 17-18)。 跟踪通过命名管道与其他组件通信的恶意代码。
WMI 活动(事件 ID 19)。 注册通过 WMI 协议访问系统时生成的事件。
为了保护Sysmon本身,您需要监视ID为4(Sysmon停止和启动)和ID 16(Sysmon配置更改)的事件。
电源外壳日志
Power Shell 是用于管理 Windows 基础设施的强大工具,因此攻击者选择它的可能性很高。 您可以使用两个来源来获取 Power Shell 事件数据:Windows PowerShell 日志和 Microsoft-WindowsPowerShell/操作日志。
Windows PowerShell 日志
已加载数据提供程序(事件 ID 600)。 PowerShell 提供程序是提供数据源供 PowerShell 查看和管理的程序。 例如,内置提供程序可以是 Windows 环境变量或系统注册表。 必须监控新供应商的出现,以便及时发现恶意活动。 例如,如果您看到 WSMan 出现在提供程序中,则远程 PowerShell 会话已启动。
Microsoft-WindowsPowerShell / 操作日志(或 PowerShell 6 中的 MicrosoftWindows-PowerShellCore / 操作)
模块日志记录(事件 ID 4103)。 事件存储有关每个已执行命令及其调用参数的信息。
脚本阻止日志记录(事件 ID 4104)。 脚本阻止日志记录显示执行的每个 PowerShell 代码块。 即使攻击者试图隐藏该命令,此事件类型也会显示实际执行的 PowerShell 命令。 此事件类型还可以记录一些正在进行的低级 API 调用,这些事件通常记录为详细,但如果在代码块中使用可疑命令或脚本,则会记录为警告严重性。
请注意,一旦将工具配置为收集和分析这些事件,将需要额外的调试时间来减少误报数量。
在评论中告诉我们您收集了哪些日志用于信息安全审核以及您为此使用了哪些工具。 我们的重点领域之一是审计信息安全事件的解决方案。 为了解决收集和分析日志的问题,我们可以建议仔细研究一下 ,它可以以 20:1 的比例压缩存储的数据,并且安装的一个实例每秒能够处理来自 60000 个源的多达 10000 个事件。
来源: habr.com