• Оптимизация
  • Социальные сети
  • Sitemap
  • Drupal
  • Usability
  • Юзабилити
  • B2b
  • Антивирус
  • Семантическое ядро
  • Новости
    • <

    Sysmon для безпечники. Розширюємо можливості аудиту подій в Windows

    1. Зміст статті Технічні фахівці, які, розслідуючи ІБ-інциденти або усуваючи неполадки при траблшутінге,...
    2. Аудит мережевої взаємодії
    3. Продовження доступно тільки учасникам
    4. Варіант 2. Відкрий один матеріал

    Зміст статті

    Технічні фахівці, які, розслідуючи ІБ-інциденти або усуваючи неполадки при траблшутінге, хоч раз намагалися знайти в логах операційних систем сімейства Microsoft Windows реально важливу для них інформацію, знають, що в журнали аудиту подій потрапляє далеко не все, що потрібно. Чи можна виправити цю ситуацію без додаткових фінансових вкладень з використанням інструментів, гарантовано сумісних з Windows-середовищем? Зрозуміло, можна!

    Відразу обмовимося, що за рамками цієї статті залишаться питання усвідомленої чистки логів або «кривий» настройки політик аудиту в домені (Audit Policy). Тут ми поговоримо тільки про те, як підвищити інформативність і розширити можливості функції аудиту подій, використовуючи утиліту System Monitor (Sysmon) в Windows-середовищі (від Windows 7 для клієнтських вузлів і від Windows Server 2008 R2 для серверів).

    Sysmon

    Утиліту можна завантажити з веб-сайту Microsoft Docs, з розділу Windows Sysinternals . У складі Windows Sysinternals від Марка Руссиновича і Со є ще багато корисних утиліт, так що знайди час і «помацай» їх. Плюс зазирни в добірку матеріалів на GitHub .

    Але для даної статті ми візьмемо спеціальну готову збірку з GitHub , Що включає файл конфігурації Sysmon Threat Intelligence Configuration від ION-STORM . Вона орієнтована саме на виявлення інцидентів ІБ і може виступити якісної основою для створення твоїх власних файлів конфігурації.

    Утиліту можна встановити точково на кожне робоче місце або з використанням групових політик (Group Policy) в домені. В даному файлі конфігурації вказуються в більшості своїй повні стандартні шляхи для ряду програмного забезпечення:

    <Image condition = "is"> C: \ Program Files \ OpenVPN \ bin \ openvpn-gui.exe </ Image> <ImageLoaded condition = "contains"> C: \ Program Files (x86) \ Notepad ++ </ ImageLoaded>

    Таким чином, в конкретної ІТ-інфраструктурі це може зажадати певного тюнінгу, так як, наприклад, згідно з корпоративної політики програми можуть встановлюватися на диск D: \, а не на C: \. Інструментарій настільки гнучкий, що можна задавати будь-які конструкції, націлені на те, щоб відстежувати певні дії або виключати їх з твого поля зору.

    Після установки отримаєш новий журнал (Channel) Microsoft-Windows-Sysmon / Operational, в якому Sysmon виділяє 18 категорій завдань (Task Category), серед них: Process Create, Network Connect, Driver Load, ProcessAccess, File Create.


    Аудит мережевої взаємодії

    Перейдемо до практичного застосування Sysmon.

    Уяви мережеве взаємодія між двома вузлами мережі: вузол А звертається до вузла Б, і це звернення не є легальним, тобто виникає підозра на ІБ-інцидент. Шукати сліди даного мережевого взаємодії в операційній системі будуть в самий останній момент, а почнуть саме з активного мережного обладнання. Що нам скаже міжмережевий екран або маршрутизатор, якщо він контролює це мережеве взаємодія?

    <190>% ASA-6-302014: Teardown TCP connection 2047052539 for outside: IP_1 / 60307 (DOMAIN \ USER_NAME) to dmz-0: IP_2 / 22 duration 0:00:16 bytes 5675 TCP FINs (USER_NAME)

    Бачимо тільки, хто IP_1 і куди IP_2. За великим рахунком тут будуть потрібні додаткові зусилля: доведеться в напівавтоматичному або ручному режимі аналізувати вузол А (IP_1), щоб знайти реальне джерело мережевої активності. Необхідно пам'ятати, що якщо мережева активність не виходить за межі сегмента мережі, контрольованого фаєрволом, або на даному межсетевом екрані на реєструються відповідні події, що найчастіше і буває, то нічого знайти в логах не вийде.

    Припустимо, тобі вдалося застосувати в цей момент ще й сниффер або завчасно відгалузилося трафік через SPAN-порт і сформувати PCAP-файл. Що це дасть?

    Що це дасть

    Ми бачимо, хто, куди і, якщо дуже пощастить, за допомогою чого, тобто в даному випадку PuTTY. Але тут немає ні місця установки додатка, ні імені виконуваного файлу, ні коли він був створений. У разі PuTTY це може здатися надуманими атрибутами, але якщо ти шукаєш сліди несанкціонованих дій і / або шкідливий, то це вже важливі речі. Плюс шкідливий може «представитися» легальним додатком і підштовхнути тебе закрити даний ІБ-інцидент як помилкове спрацьовування (false positive), прийнявши рішення тільки на підставі отриманого з дампа мережевого трафіку назву програми.

    Тепер подивимося в канал Microsoft-Windows-Sysmon / Operational. У ньому є наступна подія:

    Продовження доступно тільки учасникам

    Варіант 1. Приєднайся до товариства «Xakep.ru», щоб читати всі матеріали на сайті

    Членство в співтоваристві протягом зазначеного терміну відкриє тобі доступ до ВСІХ матеріалами «Хакера», збільшить особисту накопичувальну знижку і дозволить накопичувати професійний рейтинг Xakep Score! Детальніше

    Варіант 2. Відкрий один матеріал

    Зацікавила стаття, але немає можливості стати членом клубу «Xakep.ru»? Тоді цей варіант для тебе! Зверни увагу: цей спосіб підходить тільки для статей, опублікованих більше двох місяців тому.


    Чи можна виправити цю ситуацію без додаткових фінансових вкладень з використанням інструментів, гарантовано сумісних з Windows-середовищем?
    Що нам скаже міжмережевий екран або маршрутизатор, якщо він контролює це мережеве взаємодія?
    Що це дасть?
    Ru»?
    IRC (Internet Relay Chat)

    Все права защищены © 2013 IRC-сервер — Irc.Online.com.ua