在資訊安全方面,使用者工作站是基礎設施中最脆弱的點。 使用者的工作電子郵件可能會收到一封看似來自安全來源的信件,但其中包含指向受感染網站的連結。 也許有人會從未知位置下載對工作有用的實用程式。 是的,您可以舉出數十個惡意軟體如何透過使用者滲透到公司內部資源的案例。 因此,工作站需要更多的關注,在本文中,我們將告訴您在何處以及採取哪些事件來監控攻擊。
為了儘早偵測攻擊,WIndows 提供了三個有用的事件來源:安全事件日誌、系統監控日誌和 Power Shell 日誌。
安全事件日誌
這是系統安全日誌的主要儲存位置。 這包括使用者登入/登出、物件存取、政策變更和其他安全相關活動的事件。 當然,如果配置了合適的策略。
使用者和群組的枚舉(事件 4798 和 4799)。 在攻擊一開始,惡意軟體通常會搜尋工作站上的本機使用者帳戶和本機群組,以查找其不正當交易的憑證。 這些事件將有助於在惡意程式碼繼續移動並使用收集到的資料傳播到其他系統之前檢測到該程式碼。
建立本機帳戶和更改本機群組(事件 4720、4722–4726、4738、4740、4767、4780、4781、4794、5376 和 5377)。 例如,攻擊也可以透過向本機管理員群組新增使用者來開始。
嘗試使用本機帳號登入(事件 4624)。 受人尊敬的用戶使用網域帳戶登錄,識別本地帳戶下的登入可能意味著攻擊的開始。 事件4624還包括網域帳戶下的登錄,因此在處理事件時,需要過濾掉網域與工作站名稱不同的事件。
嘗試使用指定帳號登入(事件 4648)。 當進程以“運行方式”模式運行時會發生這種情況。 在系統正常運作期間,這種情況不應該發生,因此必須控制此類事件。
鎖定/解鎖工作站(事件 4800-4803)。 可疑事件類別包括鎖定工作站上發生的任何操作。
防火牆配置變更(事件 4944-4958)。 顯然,在安裝新軟體時,防火牆配置設定可能會發生變化,這會導致誤報。 在大多數情況下,沒有必要控制這些變化,但了解它們絕對不會有什麼壞處。
連線即插即用裝置(事件 6416,僅適用於 WIndows 10)。 如果使用者通常不會將新裝置連接到工作站,但突然間卻將其連接到工作站,則務必密切注意這一點。
Windows 包括 9 個審核類別和 50 個用於微調的子類別。 應在設定中啟用的最小子類別集:
登錄/註銷
- 登入;
- 註銷;
- 帳戶鎖定;
- 其他登入/登出事件。
賬戶管理
- 用戶帳號管理;
- 安全群組管理。
政策變更
- 審計政策變更;
- 身份驗證策略變更;
- 授權政策變更。
系統監視器(Sysmon)
Sysmon 是 Windows 內建的實用程序,可在系統日誌中記錄事件。 通常您需要單獨安裝它。
原則上,可以在安全日誌中找到這些相同的事件(透過啟用所需的審核策略),但 Sysmon 提供了更多詳細資訊。 可以從 Sysmon 取得哪些事件?
流程建立(事件 ID 1)。 系統安全性事件日誌還可以告訴您 *.exe 何時啟動,甚至顯示其名稱和啟動路徑。 但與 Sysmon 不同的是,它無法顯示應用程式雜湊。 惡意軟體甚至可能被稱為無害的 notepad.exe,但正是雜湊值將其暴露。
網路連線(事件 ID 3)。 顯然,存在大量網路連接,並且不可能追蹤所有網路連接。 但重要的是要考慮到,與安全日誌不同,Sysmon 可以將網路連線綁定到 ProcessID 和 ProcessGUID 字段,並顯示來源和目標的連接埠和 IP 位址。
系統登錄中的變更(事件 ID 12-14)。 將自己添加到自動運行的最簡單方法是在註冊表中註冊。 安全日誌可以做到這一點,但 Sysmon 會顯示誰進行了更改、何時、從何處、進程 ID 和先前的鍵值。
文件創建(事件 ID 11)。 Sysmon 與安全性日誌不同,它不僅會顯示檔案的位置,還會顯示檔案的名稱。 很明顯,您無法追蹤所有內容,但您可以審核某些目錄。
現在安全日誌策略中沒有,但在 Sysmon 中:
文件建立時間變更(事件 ID 2)。 某些惡意軟體可以欺騙文件的建立日期,以將其隱藏在最近建立的文件的報告中。
載入驅動程式和動態庫(事件 ID 6-7)。 監視 DLL 和裝置驅動程式載入到記憶體中,檢查數位簽章及其有效性。
在正在運行的進程中建立一個執行緒(事件 ID 8)。 也需要監控的一種攻擊類型。
RawAccessRead 事件(事件 ID 9)。 磁碟讀操作使用“.”。 在絕大多數情況下,此類活動應被視為異常。
建立命名檔案流(事件 ID 15)。 當建立一個命名檔案流並發出帶有檔案內容雜湊值的事件時,就會記錄一個事件。
建立命名管道和連線(事件 ID 17-18)。 追蹤透過命名管道與其他元件通訊的惡意程式碼。
WMI 活動(事件 ID 19)。 註冊透過 WMI 協定存取系統時產生的事件。
為了保護Sysmon本身,您需要監視ID為4(Sysmon停止和啟動)和ID 16(Sysmon配置變更)的事件。
電源外殼日誌
Power Shell 是用於管理 Windows 基礎架構的強大工具,因此攻擊者選擇它的可能性很高。 您可以使用兩個來源來取得 Power Shell 事件資料:Windows PowerShell 日誌和 Microsoft-WindowsPowerShell/操作日誌。
Windows PowerShell 日誌
已載入資料提供者(事件 ID 600)。 PowerShell 提供者是提供資料來源供 PowerShell 檢視和管理的程式。 例如,內建提供者可以是 Windows 環境變數或系統登錄。 必須監控新供應商的出現,以便及時發現惡意活動。 例如,如果您看到 WSMan 出現在提供者中,則遠端 PowerShell 工作階段已啟動。
Microsoft-WindowsPowerShell / 作業記錄(或 PowerShell 6 中的 MicrosoftWindows-PowerShellCore / 操作)
模組日誌記錄(事件 ID 4103)。 事件儲存有關每個已執行命令及其呼叫參數的資訊。
腳本阻止日誌記錄(事件 ID 4104)。 腳本阻止日誌記錄顯示執行的每個 PowerShell 程式碼區塊。 即使攻擊者試圖隱藏該命令,此事件類型也會顯示實際執行的 PowerShell 命令。 此事件類型還可以記錄一些正在進行的低階 API 調用,這些事件通常記錄為詳細,但如果在程式碼區塊中使用可疑命令或腳本,則會記錄為警告嚴重性。
請注意,一旦將工具配置為收集和分析這些事件,將需要額外的偵錯時間來減少誤報數量。
在評論中告訴我們您收集了哪些日誌用於資訊安全審核以及您為此使用了哪些工具。 我們的重點領域之一是審計資訊安全事件的解決方案。 為了解決收集和分析日誌的問題,我們可以建議仔細研究一下 ,它可以以 20:1 的比例壓縮儲存的數據,並且安裝的一個實例每秒能夠處理來自 60000 個來源的多達 10000 個事件。
來源: www.habr.com