Get best of the week

Windows مقابل Sysmon


في مؤتمر ZeroNights الأخير ، أثناء التواصل غير الرسمي مع زملائنا في نظام المراقبة ، سُئلنا سؤالًا بسيطًا للوهلة الأولى - كان هناك اعتقاد واسع النطاق بأنه يجب استخدام Sysmon لمراقبة نقطة النهاية بشكل كامل مع نظام التشغيل Windows ، فهل هذا صحيح؟ وإذا كان الأمر كذلك ، فما هي الأسباب المحددة (مرحبا Seryozha!)؟ لم نتمكن من العثور على إجابة شاملة لا لبس فيها في أمتعتنا المعرفية أو مقارنة مناظرة على الإنترنت ، وبالتالي ، أولاً وقبل كل شيء ، لأنفسنا ، وليس أقلها ، حتى أنه في المستقبل سيظل هذا المصدر متاحًا من المجتمع ، قررنا استكشاف هذا الموضوع وقارن بين أحداث Windows و Sysmon وجهًا لوجه. كما يقول المثل ، "1 ... 2 ... 3 ... قتال!".


المقدمة


يضطر أي متخصص في مجال أمن المعلومات للعمل ضمن إطار معين. على سبيل المثال ، ضمن ميزانية محدودة ، الأمان ، مع استثناءات نادرة ، ليس الطريقة الرئيسية للمؤسسة لتحقيق ربح أو أداء وظائف أخرى في أعمالها الأساسية. لذلك ، في ظروف الموارد المحدودة التي تمتلكها المنظمة ، غالبًا ما يتم تخصيص جزء صغير منها فقط لقطاع الأمن من أجل الحفاظ على هذا الاتجاه عند الحد الأدنى من المستوى الكافي (وفقًا لمتطلبات معينة). حتى مع الموارد غير المحدودة ، ستكون هناك دائمًا قيود أخرى لا تسمح بجلب مستوى الأمان إلى المطلق. هذه هي نقاط الضعف سيئة السمعة من الصفر أو اليوم العادي (إدارة التصحيح التي لا نهاية لها) ، وسباق التسلح المستمر للقراصنة وحراس الأمن ،وديناميكية تطوير البنية التحتية لتكنولوجيا المعلومات ، وأكثر من هذا بكثير.

وفي ضوء ذلك ، أصبحت مسألة إعطاء الأولوية لوسائل ووسائل الحماية ، أكثر من أي وقت مضى ، ملحة ، بما في ذلك في اتجاه المراقبة. في هذا المجال، وفقا لإحصاءات استنادا إلى البيانات من ميتري ATT وCK مصفوفة ، ونحن بالفعل كتبت عن آخر مرة، والأولويات يلي على النحو التالي: يؤخذ المقام الأول غير المشروط من قبل هذا مصدر الأحداث الأمنية كما النهاية.


يؤدي هذا المصدر إلى عدد تقنيات المصفوفة التي يمكن تحديدها بناءً على الأحداث المسجلة عليها. نظام التشغيل الأكثر شيوعًا لنقاط النهاية هو Microsoft Windows. إن جمع سجلاته بالضبط في معظم البنى التحتية للشركات سيعطي أفضل نتيجة في نسبة جميع أنواع التكاليف إلى تغطية أجهزة الشبكة وتغطية التقنيات الخبيثة. هذا ما تؤكده إحصاءات نفس المؤلفين. تحتل الأماكن 1-3 و 5 و 7 و 8 و 10 والجزء 4 هذه الأحداث الأساسية فقط.


ولكن ، كما هو الحال في النكتة الشهيرة ، هناك تحذير واحد. في السنوات الأخيرة ، أصبح من المقبول على نطاق واسع أن سجلات Windows تحتاج إلى استكمالها ، إذا لم يتم استبدالها ، بأحداث Sysmon - يقولون أنها أكثر اكتمالًا وأفضل وأفضل وأكثر تكيفًا كأداة مراقبة من وجهة نظر أمن المعلومات.

بالإضافة إلى ذلك ، يفي هذا النهج بطريقة أو بأخرى بمفهوم البساطة. يمثل كل منتج برمجي تحاول إدخاله في منتجك الخاص أو يقدمه لك طوعًا عميل شركة زيادة في منطقة الهجوم ، وتكاليف الإدارة والتحديث ، ونقاط الفشل. وغالبًا - وفي الوقت الذي يسبق تنفيذ نظام المراقبة الخاص بك ، بينما يمر نهجك بالموافقة.

تم تطوير Sysmon بواسطة متخصصين في Microsoft ، وتم استيعابها مؤخرًا بواسطة هذه الشركة ، مما يمنح مستوى معينًا من الثقة من جانب تكنولوجيا المعلومات. بالإضافة إلى ذلك ، تتم كتابة السجلات في شكل سجل .evtx ، والذي يسمح لك بجمعها ومعالجتها باستخدام نفس الأدوات والأساليب مثل سجلات Windows العادية.

قم بإجراء حجز على الفور تبين أن المقالة كبيرة ، على الرغم من أننا حاولنا نسخ المواد وضغطها في الحد الأدنى. يمكن للقارئ ، بالطبع ، أن يقول ، مشيراً لنا إلى تلك النكتة عن لينين: "لكن كان بإمكانه أن يقطع ...". أو أن "المنشور يمكن تقسيمه إلى جزأين أو ثلاثة لمزيد من القراءة". ولكن بدا لنا أنه على الرغم من حجم المواد المعدة ، يجب أن نقدم إجابة كاملة على سؤال زملائنا في المتجر ، وسيكون البحث أكثر ملاءمة. وبالتالي ، حتى لا تفقد أي شيء ، نوصيك بقراءة المقال 1 مرة بالكامل ، وربما تدوين ملاحظات لنفسك ثم العودة فقط إلى مجموعات محددة من الأحداث والتعمق فيها بالتفصيل.

من أجل الراحة ، نضيف جدول المحتويات:
مقدمة
جدول المحتويات
تنسيق المقارنة
إنشاء عملية
اتصالات الشبكة
إنهاء عملية
تنزيل برنامج تشغيل
الوصول إلى عملية
إنشاء ملف
إجراءات التسجيل
تكوين WMI
استعلامات DNS أحداث
Sysmon الفريدة
أحداث التصفية أحداث
موفري الأحداث الأساسية المجانية الأخرى
الإخراج العام

تنسيق المقارنة


لماذا وماذا تمت مقارنته ، يبدو أنه واضح. وكيف تم ذلك ولماذا بالضبط؟

قررنا إجراء مقارنة في شكل جدول لكل مجموعة من الأحداث التي تعكس نشاطًا معينًا في النظام. على سبيل المثال ، لا يتم تصفية الأحداث ذات المعرف (معرف الحدث ، EID) 12 و 13 و 14 في Sysmon ، والتي تعكس نشاط التسجيل ، بشكل منفصل ، على الرغم من أنها تتحدث عن إجراءات ذرية مختلفة. بنفس المنطق ، تم عمل باقي المجموعة.

تضمنت هذه المجموعات أحداثًا مماثلة فقط. على سبيل المثال ، يعتبر حدث Windows EID 6. نظيرًا لحدث Sysmon EID 6 ، وفي نفس الوقت ، يوجد 219 و 7036 حدثًا على الأقل حول تحميل برامج التشغيل. لكنها تنشأ في حالة الفشل. أولئك. لا تحمل نفس الحمل الدلالي ، وإذا لزم الأمر ، يمكن أن تكمل أحداث Sysmon أو Windows ، اعتمادًا على ما قررنا جمعه.

بالنسبة لمجموعات الأحداث الموضحة في الجدول ، يتم عرض الحقول المعلوماتية (التي نستخدمها لأغراض المراقبة) الواردة في الأحداث في شكل سلاسل. لكل مجال ، يشار إلى اسمه. بالنسبة لنظام التشغيل Windows ، هناك خياران ممكنان بالنسبة إلى طرق عرض xml والمجلات (من كان يظن أنهما سيتطابقان؟) إذا اختلفا أكثر من المسافات. يتم ذلك بسبب قد يعتمد اسم الحقل الذي سيقع في نظام المراقبة على طريقة الجمع. تحتوي الأسطر أيضًا على بيانات الأحداث (من أجل فهم تنسيقها) وتعليق (إذا كان ذلك مطلوبًا في رأينا).

يتم دمج الحقول التي لها نفس الحمل الدلالي لكلا المصدرين في سطر واحد. في حالة عدم وجود حقل له حمل دلالي مماثل لأحد المصادر ، يتم الإشارة إلى الشرطات ("-") في الحقول المقابلة لها.

يتم دمج الخطوط التي تحتوي على معلومات حول كيان معين ، على سبيل المثال ، الموضوع الذي يقوم بالإجراء ، في مجموعة دلالية واحدة.

تم إجراء مقارنة لإصدارات Windows Kernel 6.3 (Windows 2012R2) و 10.0 (Windows 10 ، 2016 ، 2019). لم يتم النظر في الإصدارات السابقة ، لأنه على الرغم من أنها لا تزال واسعة الانتشار ، فإنها تختفي تدريجياً. إذا لم تختلف أحداث إصدارات kernel المختلفة ، فقد تم دمج الأعمدة في عمود واحد لتقليل التكرار.

نظرًا لأن المعدل بدوام كامل ، يتم ترتيب الأعمدة بالترتيب التالي من المركز إلى الحواف: البيانات واسم الحقل والتعليق. هذا يجعل المقارنة أكثر مرئية. من أجل الفصل المرئي للأعمدة وفقًا للمصادر التي تشير إليها ، يتم استخدام الألوان.

فريد لـ Sysmon EID (نظرًا لأنه في هذه الحالة هو أداة مكملة ، يتم تضمين تسجيلات نظام التشغيل في الوظائف الأساسية لنظام التشغيل) في قسم منفصل.

يعرض القسم الذي يحتوي على الجدول إعدادات GPO التي يجب إجراؤها لتمكين التسجيل في سجل أحداث المجموعة ، مثل عدد خيارات التدقيق الممكنة بشكل عام كبير جدًا. ل Sysmon ، لا يتم عرض هذه الإعدادات ، لأنه كلها موجودة في ملف تكوين واحد.

إنشاء العملية


للمفارقة ، قرروا البدء من البداية. ومن ثم لم يكونوا أصليين وذهبوا بالترتيب - في زيادة EID Sysmon.

يتم تمكين تسجيل بيانات الأحداث في Windows على النحو التالي:

• تكوين الكمبيوتر - السياسات - إعدادات Windows - إعدادات الأمان - تكوين نهج التدقيق المتقدم - سياسات التدقيق - التتبع التفصيلي - إنشاء عملية التدقيق - نجاح يتيح تسجيل الحدث نفسه ؛

• تكوين الكمبيوتر - السياسات - القوالب الإدارية - النظام - إنشاء عملية التدقيق - تضمين سطر الأوامر في أحداث إنشاء العملية - يضيف سطر الأوامر للعملية التي بدأت إلى الحدث ، مما يجعل من الممكن في كثير من الأحيان التمييز بين البداية الشرعية وغير الشرعية.

يتم عرض المقارنة بالصيغة الموصوفة أعلاه في الجدول التالي.


فيما يلي ، يتم تمثيل جميع الجداول بالصور وقابلة للنقر. نظرًا لأننا أولاً لم نجد طريقة جيدة لنقل الجداول إلى Markdown أو HTML مع الحفاظ على عرض العمود أو الواصلة وفقًا للإصدار الحالي في Excel. وثانيًا ، محتوياتها ليست ذات قيمة كبيرة للفهرسة ، باستثناء التعليقات. أكثر قيمة في الجداول هو تكوين الحقول التي تمت مناقشتها في هذه المقالة وتنسيق البيانات التي ستضطر للعمل معها إذا تم استخدام مصادر الأحداث هذه.

ضع في اعتبارك ذلك بالترتيب ، ولكن ليس سطرًا تلو الآخر - كل واحد سيجري مثل هذا التحليل المفصل لنفسه. في هذا القسم وأدناه ، سوف نتحدث فقط عن المعلومات التي تم العثور عليها للمرة الأولى. ابدأ فورًا بمثال على هذا السلوك. توجد حقول قسم النظام في كل حدث يقع في السجل ، بغض النظر عن المصدر - Sysmon أو Windows. تتضمن معلومات عامة:

  • اسم موفر الحدث.
  • العيد
  • الوقت الذي تم فيه تسجيل الحدث.
  • اسم المجلة حيث حصلنا على هذا الحدث.
  • المضيف الذي وقع عليه الحدث.

لا يستخدم المحلل عادة اسم الموفر والسجل بعد الاتصال. لكنهم يجعلون من الممكن فهم مكان ومن يكتب السجلات ، وهو أمر مهم إذا لم تبدأ عملية التجميع بعد. الوقت والمضيف و EID هي المنارات الرئيسية التي يتم من خلالها إجراء التصفية الأساسية للأحداث.

علاوة على ذلك ، من بين المجالات التي أود أن أشير إليها بشكل خاص - المعرف الفريد العمومي (GUID) لكل من جلسة المستخدم والعمليات التابعة والوالدة موجود فقط في سجلات Sysmon. وإلى نفس البنك الأصغر ، وبغض النظر عن الشذوذ - يتم كتابة معرّف العملية (الجديد والأصل) في أحداث Windows بالنظام الست عشري ، على الرغم من عرضه بترميز عشري في نفس إدارة المهام. كما يقول المثل ، تصحيح الأخطاء سعيدًا ("-هل تريد التحسين؟ -جيثب") ...

سطر الأوامر عند بدء عملية في أحداث Windows له تنسيق مختلف اعتمادًا على الأداة المساعدة المستخدمة لبدء تشغيله. ولكن في Sysmon ، أراد المؤلفون ويمكن ذلك - لا يعتمد التنسيق على مدخلات أخرى. لن أحكم على الأسباب ، لكن منشئو محتوى SIEM لن يكتبوا الشكر لشركة Microsoft حول هذا ، هذا أمر مؤكد.

السمة المميزة الرئيسية لـ Sysmon لهذا ، بالإضافة إلى الأحداث الأخرى التي تحتوي على هذا الحقل ، أود أن أسمي التجزئة للملف القابل للتنفيذ. يتم تحديد تنسيق التجزئة في تكوين Sysmon.

مرة أخرى ، من مكافآت Sysmon الإضافية المثيرة للاهتمام - حقل اسم القاعدة. هذه ، في الواقع ، علامة ملائمة لوضع علامة على عوامل تصفية معينة في ملف التكوين ، ثم استخدامها عند تحليل الأحداث. على سبيل المثال ، يمكننا القول أن بدء العملية X يشير إلى التكتيكات Y أو التقنية Z. هذا النهج مثير للاهتمام من وجهة نظر المحلل ومن وجهة نظر مطور المحتوى SIEM أو Sysmon - إنه يسمح لنا بفهم السبب الذي جعلنا نقرر جمع هذا الحدث.

استنتاج


Sysmon أفضل بكثير لإصلاح هذه المجموعة من الأحداث:

  • GUID , , , , ID ( ). , , . . ID , , SIEM, . GUID, — .
  • — — , , . — Sysmon , SIEM ( ). - — , . , SIEM . , , IBM QRadar. , - . , , — Windows , , .
  • Rule Name .
  • إن قابلية تطبيق الحقول الفريدة المتبقية ، التي في أحداث Windows ، والتي في أحداث Sysmon ، تلعب دورًا ، كما يقولون باللغة الإنجليزية ، كل حالة على حدة. لذلك ، لاتخاذ قرار بشأن اختيار سجل معين ، أو دمجها بشكل عام ، تحتاج أيضًا إلى كل حالة على حدة.

اتصالات الشبكة


تسجيل هذه الأحداث على Windows: تكوين الكمبيوتر - السياسات - إعدادات Windows - إعدادات الأمان - تكوين نهج التدقيق المتقدم - نُهج التدقيق - الوصول إلى الكائنات - مراجعة النظام الأساسي لتصفية التدقيق

لماذا قررت التركيز على أحداث نظام تصفية Windows (WFP) ، وليس جدار حماية Windows؟ الجواب بسيط. بناءً على ممارستنا ، فإن نقاط النهاية في شكل مضادات الفيروسات موجودة بالفعل على المضيفين على أي حال. على الرغم من أنها ليست مصممة لرصد الأحداث الأساسية للنظام (وهذا هو السبب في أنها ليست مناسبة لأغراضنا) ، ومع ذلك ، في الحقائق الحديثة ، فإنها دائمًا ما تحتوي على جدار حماية مضيف. لهذا السبب ، لتجنب التكرار ، عادة ما يتم إلغاء جدار حماية Windows ببساطة. وبناءً على ذلك ، لا أحد يكتب إلى العقيد ... برنامج الأغذية العالمي ، على الرغم من أنه يمكنه تصفية حركة المرور ، فإننا نستخدمها فقط للمراقبة. لذلك ، التكرار غير موجود.


يوضح الجدول أنه إذا حاولنا الاعتماد على أحداث Windows ، فيجب استعادة الموجات فوق الصوتية للمستخدم و FQDN للمضيفات المتفاعلة عن طريق إثراء الحدث. على الرغم من ذلك ، إذا فكرت في الأمر ، فمن الأهم بالنسبة لنا معرفة العملية التي أنشأت الاتصال ، وليس أي مستخدم. على سبيل المثال ، تنتقل البرامج الضارة إلى مركز C&C الخاص بها. على أي حال ، نريد معرفة من بدأ العملية أو إنشاء حادثة استنادًا إلى أن المفكرة لا تذهب إلى الإنترنت نفسها (أي استنادًا إلى المعلومات المتاحة في الحدث).

ومع FQDN أصبح الأمر أبسط - كل الأنظمة الحديثة تتضمن مكون CMDB كوظيفة أساسية أو إضافية. وإذا لم يكن الأمر كذلك ، فمن المؤكد أنه يستحق تخزينه مع حل من جهة خارجية. معرفة البنية التحتية الخاصة بك هو أساس أمن المعلومات بشكل عام. لذا فإن المعلومات متاحة إما من خلال الإثراء أو من خلال بطاقة الأصول ، والتي ستسمح باستخدامها في الارتباط. الشيء الرئيسي هو ، إن أمكن ، عدم نسيان توصيل سجلات DHCP بحيث تكون المعلومات محدثة.

جميع الحقول الفريدة الأخرى ليست مهمة للغاية ، على سبيل المثال:

  • الموانئ الشهيرة. لن نعتمد على هذا المجال - فليس عبثًا أن هناك وسائل للكشف عن الحالات الشاذة في حركة المرور عندما ، على سبيل المثال ، يمر نفق ssh عبر المنفذ 80 بدلاً من HTTP.
  • اتجاه المرور. من خلال معرفة معرف المضيف (IP أو FQDN) ومصدر / وجهة الاتصال ، يمكنك بسهولة حساب الاتجاه.

استنتاج


وفي هذه الحالة ، يفوز Sysmon ، ولكن بشكل أقل أهمية - GUID ، FQDN ، يوفر المستخدم راحة يمكن تحقيقها باستخدام SIEM أو حلول الطرف الثالث. ومع ذلك ، فإن الجهود الصغيرة لا تعني الصفر.

اكتمال العملية


بشكل عام ، الحدث ، كما سبق ذكره أعلاه ، لا يستخدم كثيرًا ، ولكن ...


إذا لزم الأمر ، فهناك فوز واضح على جانب Windows. نضيف فقط كيفية تمكين التسجيل ، وننتقل مباشرة إلى الاستنتاجات.

تكوين الكمبيوتر - السياسات - إعدادات Windows - إعدادات الأمان - تكوين نهج التدقيق المتقدم - سياسات المراجعة - التتبع التفصيلي - إنهاء عملية المراجعة - النجاح

استنتاج


في هذه الحالة ، يتم تحقيق ميزة تسجيل نظام التشغيل الأصلي من خلال:

  • يعرض المستخدم الذي أكمل العملية.
  • وجود كود الخروج ، والذي يمكن أن يتحدث عن الانتهاء المنتظم للعملية ، وكذلك الأخطاء.

تحميل برنامج التشغيل


يتم تمكين حدث Windows هذا ، على عكس الأحداث الأخرى ، بشكل افتراضي ويدخل في سجل النظام. لا توجد العديد من المجالات الإعلامية في هذه الأحداث.


ومرة أخرى ، على الفور إلى الاستنتاجات.

استنتاج


في هذه المجموعة ، تزود أحداث Sysmon المحلل بمعلومات أكثر فائدة. على سبيل المثال ، وفقًا لأحداث Windows ، ليس من الواضح حتى أي ملف برنامج تشغيل تم استخدامه. لذلك ، في هذه المجموعة من Windows في الغرباء صريحة.

الوصول إلى العملية


لن نصنف هذه المجموعة من الأحداث على أنها أساسية ، بل على مستوى متقدم قليلاً. من وجهة نظر أمنية ، يمكن أن يكون الحدث ذا أهمية كبيرة. هناك العديد من الطرق التي يمكن أن تجعل بها العملية الضارة مشروعك الصغير "أفضل". بالطبع ، ليس من أجل الإيثار ، ولكن من أجل الأعمال الخبيثة. وستساعدنا الأحداث قيد النظر على اكتشاف العديد من الخيارات لمثل هذا الإبداع. يتم تمكين هذه السجلات في تكوين الكمبيوتر - السياسات - إعدادات Windows - إعدادات الأمان - تكوين نهج التدقيق المتقدم - سياسات التدقيق - الوصول إلى الكائن - كائن Kernel للتدقيق - النجاح


يحتوي Windows على ميزتين. أولاً ، تعيين المستخدم الذي تعمل منه العملية المصدر. كما أشرنا أعلاه ، عادة ما تكون الميزة ضئيلة. وثانيًا ، HandleID وحقوق الوصول.

إذا كانت المصلحة في حقوق الوصول واضحة ، فإن HandleID يكون مفيدًا فقط للبحث عن الأحداث ذات الصلة. من الضروري تنظيم تفاعل المستخدم من خلال العمليات مع كائنات نظام التشغيل - نفس العمليات (سلاسل العمليات) والملفات وما إلى ذلك. وفقًا لذلك ، يمكن أن تُظهر الأحداث الإضافية كيف تم إصدار النتيجة ، ولمن تم إصدارها ، ومتى تم إبطال المقبض المطلوب للوصول.

عند لمس موضوع الأشياء والتعامل معها لأول مرة ، بالإضافة إلى تسجيل الإجراءات معهم ، من المهم ملاحظة شيئين.

أولاً ، لتسجيل الخطوات الإضافية المذكورة أعلاه ، من المهم تمكين إعدادات إضافية لسياسات المراجعة ، ولا سيما تكوين الكمبيوتر - السياسات - إعدادات Windows - إعدادات الأمان - تكوين نهج التدقيق المتقدم - سياسات التدقيق - الوصول إلى الكائنات - معالجة مقبض التدقيق - النجاح. من الجدير بالذكر أن حجم هذه الأحداث يمكن أن يكون كبيرًا جدًا. يتم إصدار المقبض عند استلام الطلب ، على التوالي ، يعكس الحقوق المطالب بها. ولكن لماذا لا نتوقع نفس الحجم من الأحداث مباشرة من تدقيق الوصول إلى الأشياء؟

هذا لأنه ، ثانيًا ، من الضروري تمكين SACL على الكائن المخطط للتحكم فيه. في الواقع ، هذه قائمة مشابهة لقائمة حقوق الوصول إلى DACL ، والتي تحدد ما إذا كان الموضوع أو الكائن الذي تم إنشاؤه باستخدام الرمز المميز الخاص به سيحصل على نجاح أو فشل عند محاولة الوصول إلى الكائن. لكن SACL تحدد بنفس الشكل تقريبًا حقوق التفاعل مع الكائن ، ولكن ما إذا كانت الأحداث الأمنية سيتم إنشاؤها عند طلب وممارسة حقوق معينة. ستشمل هذه الأحداث لم يطلب بالفعل ، ولكن في الواقع حقوق الوصول المستخدمة.

ونتيجة لذلك ، نحصل على مرشح يسمح لك بتسجيل الدخول فقط إلى الكائنات المهمة بالنسبة لنا وفقط أنواع الوصول المهمة بالنسبة لنا. ولكن في المقابل ، يجب إرفاق SACL مباشرة بكل كائن من هذا القبيل أو الإشارة إلى أن SACL موروث من الكائن الأصل. بالطبع ، يمكن أتمتة هذا بطرق مختلفة. ولكن من غير المرجح أن يكون الحفاظ على تكوين أدوات التشغيل الآلي هذه ملائمًا. على عكس قائمة Sysmon البسيطة ، والتي يمكن أن تتضمن أيضًا أحرف البدل ، وإن كانت غريبة. سنتحدث عن التصفية في Sysmon في قسم منفصل.

لحسن الحظ ، بالنسبة للكائنات من النوع ، توجد عملية SACL بالفعل بشكل افتراضي لإصدار kernel 6.3 والإصدارات الأحدث. إذا كان بإمكان شخص ما تحديد طريقة لتلقي SACL (توصيات من هذه المقالةفشلنا في الوفاء) ، سيكون من المثير للاهتمام سماع / مناقشة.

على جانب Sysmon ، بالإضافة إلى GUIDs وأسماء القواعد التي تمت مناقشتها بالفعل ، هناك العديد من المجالات الأكثر إثارة للاهتمام. أولا ، PID للعملية المستهدفة. سيسمح لك بمراقبة النشاط اللاحق للكائن المصاب ، لأنه يمكن أن يكون هناك عدة حالات من ملف قابل للتنفيذ. ثانيًا ، حقل CallTrace ، الذي يلتقط إجراءات مصدر الحدث في الهدف. انظر إلى هذا وأدرك أن "خفة اليد وعدم الاحتيال" ليست مجرد كلمات. من ناحية أخرى ، فإن مثل هذا التحليل التفصيلي هو بالفعل مصير الطب الشرعي. وكل من لديه الطب الشرعي المخصص ليس على الأرجح في بداية الطريق إلى بناء نظام للرصد.

استنتاج


في هذه المجموعة ، تختلف الأحداث في عدد كبير إلى حد ما من الحقول. ولكن إذا كانت هذه المعلومات في أحداث Windows توفر على الأرجح راحة التحليل الأولي ، فإن Sysmon تلتقط بيانات فريدة يصعب الحصول عليها بأي طريقة أخرى. لذلك ، تظل الميزة مع Sysmon.

إنشاء ملف


يتم تضمين هذه الفئة في Windows على النحو التالي: تكوين الكمبيوتر - السياسات - إعدادات Windows - إعدادات الأمان - تكوين نهج التدقيق المتقدم - سياسات التدقيق - الوصول إلى الكائنات - نظام ملفات التدقيق - النجاح


كما يتبين من الجدول ، فإن جميع إيجابيات وسلبيات هذه المجموعة تشبه تلك المذكورة أعلاه بالفعل. بما في ذلك إيجابيات وسلبيات SACL (للملفات والمجلدات لجميع المستخدمين (الجميع) ، بما في ذلك الخصائص - الأمان - متقدم - تدقيق - إضافة - الجميع - نجاح - كتابة (للملفات) أو تعديل (لدليل)).

يمكنك أيضًا تعيين SACL على الملفات عالميًا من خلال تعريفها في تكوين الكمبيوتر - السياسات - إعدادات Windows - إعدادات الأمان - تكوين نهج التدقيق المتقدم - سياسات التدقيق - الوصول إلى الكائنات - تدقيق الوصول إلى الكائنات العامة - نظام الملفات. لكن عدد الأحداث ، خاصة مع الملفات المؤقتة ، سيزداد بما يتناسب مع حجم العمليات. لن أقول أن هذا نهج فعال ، فمن الممكن فقط لجزء صغير من العمليات.

أود أن أشير إلى غرائب ​​التسجيل التي تبدأ هنا. لهذه المجموعة ليست ثابتة أحداث Windows عندما يتم إنشاء ملف من خلال بوويرشيل، على سبيل المثال، نيو-البند في C: \ FORTEST \ test.t . في الوقت نفسه ، يتم عرض الإجراء نفسه بشكل مثالي في سجلات Sysmon.

استنتاج


من الأفضل تسجيل مجموعة الحدث هذه باستخدام Sysmon.

إجراءات التسجيل


حتى الآن ، بالحديث عن المجموعة ، أدرجنا حدثًا واحدًا فقط. سيتغير هذا الاتجاه هنا.


يتم تكوين تسجيل هذه الأحداث على النحو التالي: تكوين الكمبيوتر - السياسات - إعدادات Windows - إعدادات الأمان - تكوين نهج التدقيق المتقدم - سياسات التدقيق - الوصول إلى الكائنات - تسجيل التدقيق - النجاح.

يتم تعريف SACL لجميع مستخدمي (الجميع) على النحو التالي: regedit.exe - فرع التسجيل - أذونات - متقدم - تدقيق - الجميع - نجاح - أذونات متقدمة - تحكم كامل أو تعيين القيمة ، إنشاء مفتاح فرعي ، إنشاء ارتباط ، حذف ، كتابة DAC.

يمكنك أيضًا تعيين SACL على الملفات عالميًا من خلال تعريفها في تكوين الكمبيوتر - السياسات - إعدادات Windows - إعدادات الأمان - تكوين نهج التدقيق المتقدم - سياسات التدقيق - الوصول إلى الكائنات - تدقيق الوصول إلى الكائنات العامة - التسجيل. تتشابه عيوب النهج مع نفس عمليات الملف.

ركز على الفور على القيود. بالنسبة إلى Sysmon ، جميع العمليات (الإنشاء أو التعديل أو الحذف) ذات القيمة أو أحداث رفع المفتاح (باستثناء إعادة تسمية القيمة). للنوافذ:

  • جميع العمليات مع أحداث رفع القيمة.
  • إنشاء مفتاح لا يثير الأحداث.
  • تؤدي إعادة تسمية المفتاح إلى رفع حدث الوصول فقط ، ولا يتم عرض اسم المفتاح الجديد ؛ الحقوق المطلوبة المحددة في الحدث لا تحتوي على مراسلات لا لبس فيها مع العملية. وبالتالي ، لا يمكن تحديد عملية إعادة التسمية إلا من خلال طريقة الاستثناء - لا يوجد حدث حذف 4660 باستخدام معرف المؤشر هذا.
  • إزالة المفتاح ترفع الحدث 4663 يليه 4660.

بالإضافة إلى الحقول التي تمت مناقشتها في الأقسام السابقة ، من المهم ملاحظة أن أحداث Windows تحتوي على بيانات قديمة وجديدة لأسماء وقيم المفتاح والقيمة ، والتي يمكن أن تساعد أثناء التحقيق على فهم دوافع المهاجم. خاصة إذا كانت القيم الأولية ليست قياسية أو نموذجية ، ولا يتم تخزين التكوين ، بما في ذلك بيانات تسجيل الجهاز قيد التحقيق ، في أي مكان خارج المضيف.

استنتاج


كما نرى ، هناك قيود أكثر صرامة على تسجيل Windows. ولإصلاح بعض الحقائق ، هناك حاجة إلى "ارتباط" على الإطلاق ، وإن كان ذلك أبسط. ومع ذلك ، فهي قادرة على توفير كمية أكبر من المعلومات المفيدة حقًا. من الصعب إعطاء الأفضلية لأحد المشاركين في هذه المجموعة من الأحداث.

تكوين WMI


ننتقل إلى مجموعة الأحداث قبل الأخيرة. هذه هي أحداث WMI. يمكن للمهاجم إنشاء عامل تصفية (عامل تصفية) يتلقى أي أحداث حول تغيير في حالة النظام ، في مثالنا ، تغيير في حالة الخدمة. ولتنفيذ إجراءات معينة استنادًا إلى الأحداث الواردة من هذا الفلتر ، لإنشاء مستهلك. في حالتنا ، هذا هو إدخال في ملف السجل. بعد ذلك ، يجب عليه توصيل ناتج المرشح بإدخال المستهلك ، وإنشاء ارتباط بين المرشح والمستهلك. سوف يتحول إلى نظام يعمل في ظل ظروف معينة. غالبا ما تستخدم لتكتيكات الثبات . في الترتيب الموصوف بالضبط يتم تسجيل الأحداث 19-21 Sysmon.

من المهم أن نفهم أن إنشاء مرشح أو مستهلك في حد ذاته لا يشكل تهديدًا ، ولكن بالطبع يمكن أن يكون جزءًا من هجوم. علاوة على ذلك ، بالنسبة للنشاط الضار ، يمكن استخدام عامل تصفية موجود أو مستهلك أو كليهما. هنا يبدو الأمر وكأنه بسكين ، أو ، أقرب إلى موضوع المورد ، مع رسل مشفرة. السؤال ليس في الأداة ، ولكن في استخدامه.

دعونا نلقي نظرة فاحصة على الطاولة.


نقطة مهمة يجب ملاحظتها أولاً - يتم إنشاء الحدث 5861 في السجل المحدد فقط على إنشاء أو تعديل لاحق (بما في ذلك من حيث عامل التصفية والمستهلك) للحزمة. هذا ، من ناحية ، يجعل من السهل تتبع النشاط الضار المزعوم (ليس هناك حاجة إلى ارتباط بين حدثين أو ثلاثة أحداث) إذا لم يتم إنشاء مجموعة فقط داخله. ومن ناحية أخرى ، نفتقد وقت بدء هذا النشاط إذا تم إنشاء الفلتر أو المستهلك بدقة في إطاره وقبل الوقت.

هل هذا مهم؟ قضية بعد قضية. إذا بدأنا في فك تسلسل حادثة ورأينا أنه تم إنشاء فلتر أو عميل غير نمطي ومن المفترض أنه ضار قبل عامين ، فإننا ندرك على الفور أن المهاجمين كانوا في المنزل معنا منذ أكثر من عامين. ويجب البحث عن آثار الهجوم على الأقل إلى هذا العمق. كم مرة يحدث هذا؟ هذا هو السؤال الرئيسي.

ولكن إذا تم إجراء تغييرات على الفلتر أو مستهلك الحزمة الحالية ، فسنرى الصورة الكاملة في حدث واحد. بينما سيعكس Sysmon فقط تلك التغييرات (ذلك الكائن) التي تم إجراؤها.

من بين الاختلافات الأخرى: في أحداث Sysmon ، تنعكس البيانات في شكل أكثر تنظيماً وفي تنسيق أكثر ملاءمة. على سبيل المثال ، بدلاً من SID بتنسيق غير نمطي ، يتم تقديم تسجيل دخول المستخدم على الفور. لكن البيانات أقل بقليل. ربما هذا أمر بالغ الأهمية لقضيتك.

نختتم بقيود. أولاً ، على الرغم من حقيقة أن هذه المجلة كانت موجودة منذ Windows 2012 (kernel 6.2) ، لم نتمكن من الحصول على هذه الأحداث حتى بالنسبة لـ kernel 6.3 (2012R2) ، التي تمت دراستها في المقالة. ربما يرجع ذلك إلى عدم وجود أي بقع.

ثانياً ، بحسب مؤلف هذاالمقالات ، لم يتم إصلاح عامل التصفية لأحداث جهاز ضبط الوقت بواسطة Sysmon. قد لا يكون من الممكن أخذ كلمة ، ولكن من أجل التحقق. علاوة على ذلك ، فإن إصدار Sysmon قديم. ولكن هنا سابقة مهمة - لا توجد أنواع قليلة من المرشحات ومستهلكو WMI. من هذه الدراسة ، مع استكمالها بالتفاصيل ، يمكن عمل مقال منفصل. ما عليك سوى اختبار الأنواع المستهدفة لفهم ما سيتم تسجيله بالضبط.

استنتاج


في هذه الحالة ، نحن أكثر ارتياحًا لاستخدام أحداث Windows. من وجهة نظر الراحة: المزيد من البيانات ، ليست هناك حاجة للارتباط الأساسي. لذلك من وجهة نظر تحديد الأهداف - يعمل على إصلاح إنشاء آلية (بناءً على الأجزاء الجديدة أو المعدلة أو الموجودة) ، وليس القطع الفردية.

استعلامات DNS


لذا ، ننتقل إلى المجموعة الأخيرة التي تتم مقارنتها ، لكننا ما زلنا بعيدين عن نهاية مقالنا. هذا النوع ومجموعة الأحداث المطابقة حديثة ليس فقط من خلال المظهر في مقالنا ، ولكن أيضًا عن طريق إضافة Sysmon إلى مجموعة الأدوات.

على مدى السنوات القليلة الماضية ، أصبح موضوع استخدام DNS لأغراض أخرى ، على سبيل المثال ، لتلقي أوامر من C&C أو سرقة المعلومات من خلال هذه القناة ، شائعًا. على الأرجح ليس بمفرده - سنحيل القصص حول هذا الاستخدام لقنوات ICMP و DNS إلى صفر. في ذلك الوقت ، كان الطلاب المألوفون معقدين في تغليف حركة لعب الأطفال للوصول إلى خوادم الألعاب المرغوبة من شبكة المعهد عبر القنوات الوحيدة المسموح بها (مرحبًا ، Zhenyaتومبوشكو!). هذا جعل من الممكن لتمرير الوقت بطريقة أو بأخرى على مملة أو إتقان مختبراتهم بسرعة. ولم تكن فكرتهم.

ولكن منذ وقت ليس ببعيد ، تمت إضافة مفهوم مثل DoH إلى قناة التسرب هذه ، مما أدى إلى تعقيد الكشف عن حركة مرور DNS المشبوهة على مستوى الشبكة.

أو ربما كانت مجرد حيلة تسويقية - لبيع واحدة جديدة ، وهي أيضًا عملية قديمة منسية تمامًا. أو بداية حدوث مثل هذه القنوات على نطاق واسع في نشاط ضار يمكن اكتشافه. لم نتعمق في هذه المسألة ، على استعداد لجمع الحبوب - فجأة قرر أحد القراء إسقاط القليل من الحكمة في التعليقات.

لذا ، أقرب إلى النقطة. قم بتشغيل عارض الأحداث - سجلات التطبيقات والخدمات - Microsoft - Windows - أحداث عميل DNS - التشغيلية - قائمة السياق - تمكين السجل.


كل نفس ما تمت مناقشته بالفعل. أما بالنسبة للمعلومات المتعلقة بالموضوع ، فإننا نولي اهتمامًا للإشارة الواضحة لصورة الملف القابل للتنفيذ الذي نفّذ الطلب في حدث Sysmon.

إذا تحدثنا عن الكائن - فهناك المزيد من المعلومات في سجلات Windows. ولكن هناك عدة "استثناءات" مهمة. أولاً ، يتم توزيع المعلومات على العديد من الأحداث مع كل العواقب.

ثانيًا ، يتم تقديم المعلومات بطريقة غير بديهية. يتطلب فك شفرة معظم المعرفة معرفة كيفية تكوين حقول الحزمة ، والقدرة على تحويل هذه البيانات مرة أخرى إلى حقائق تساهم في اتخاذ المحلل قرارًا. يمكننا القول ، في الواقع ، أن المحلل ليس عبثا الحصول على راتب ولماذا لا يجلس ويكتشف ذلك. نعم هذا صحيح. ولكن دعني أذكركم ، نحن نتحدث عن فريق صغير بدون متخصصين ضيقين ، وقبل ذلك لا نهاية للمهام في أمن المعلومات. وإذا كان كل مهمة تم تحليلها بواسطة SIEM ، تقع على عاتقه مثل هذه المهمة ، فلن يتابعها في غضون بضع سنوات.

استنتاج


بالنسبة لهذه المجموعة ، من الصعب تحديد الفائز. تقدم Sysmon نسخة مقتضبة ، يمكنك من خلالها الضغط بسهولة على جزء جيد من المعلومات المفيدة. يقدم Windows خيارًا متقدمًا. يبقى "خياطته" ، والتعامل مع المحتوى واسأل نفسك عما إذا كان الوقت قد حان لتقديم NTA؟

أحداث Sysmon الفريدة


أرجعنا ما يلي إلى أحداث Sysmon الفريدة:

  • EID 4 ، 16. على الرغم من أنه يمكن تتبعها من خلال سجلات Windows ، فإنها تخبرنا فقط عن الأحداث في Sysmon نفسها. وفقا لذلك ، في غيابها لا معنى لها.
  • EID 2 - EID 4663 يمكن اعتباره نظيرًا ، ولكن حتى مع مراعاة قوائم حقوق الوصول الواردة فيه ، فإن الحدث ليس بنفس دقة EID2 ، ولا يتم إثرائه بمثل هذه الحالة مع أحداث Windows الأخرى.
  • EID 7-9, 17 — . ETW. , , .
  • EID 15 — , ETW. , — .
  • EID 18 — (named pipes) . , -, . -, , . ETW.


هناك ثلاثة خيارات لتصفية الأحداث على جانب المصدر.

الأول متاح فقط لأحداث Windows وفقط لمراقبة الوصول والعمليات مع الكائنات. تم التنفيذ باستخدام SACL. من بين عيوب هذا النهج تعقيد الإعدادات الدقيقة (على سبيل المثال ، لا يمكنك فقط مراقبة الملفات الموجودة أو التي تم إنشاؤها باستخدام الملحق .exe). من بين المزايا هي القدرة على تحديد قائمة المستخدمين الذين تم تسجيل عملياتهم مع الكائن.

والثاني متاح لكل من أحداث Windows وأحداث Sysmon: باستخدام Xpath ، مع مراعاة القيود التي تفرضها Microsoft الرائعة. نظرًا لأن الطريقة متاحة لكلا المصدرين ، فإن الوصف يتجاوز نطاق هذه المقالة.

والثالث هو تكوين Sysmon. هناك العديد من الخيارات:

  • مضاهاة حرف البدل - يحتوي على (أي | الكل) ، باستثناء (أي | الكل) ، وينتهي بـ ، ويبدأ بـ. يسمح لك استخدام تحتوي على | باستثناء الكل بمحاكاة تعبيرات مثل "C: \ Windows \ *. Exe".
  • المطابقة التامة - هي ليست صورة.
  • الحساب - أقل من أكثر من.

وتجدر الإشارة إلى أن هذا التصفية غير متاح لجميع الحقول. على سبيل المثال ، لا يمكنك إضافة تجزئات البرامج القياسية إلى القائمة البيضاء ، وإنشاء العمليات التي لا نهتم بها. مثال من تجربتنا - أنشأت العملية الشرعية git.exe عشرات الآلاف من أحداث البدء يوميًا على مضيفي المطورين لدينا. ربما ، على وجه التحديد في هذه الحالة ، يمكن تشديد سلوكه ، وبالتالي تقليل رمح الأحداث هذا. لكن استبعاد الملفات القابلة للتنفيذ حسب اسم الصورة ليست فكرة جيدة. حسنًا ، ربما فقط مضاد للفيروسات مع تمكين الدفاع عن النفس.

كما أن Sysmon في طريقها فقط إلى التصفية المعقدة من خلال الجمع بين الظروف من المجالات المختلفة. يمكنك إنشاء مجموعة واحدة فقط من القواعد لكل EID مدمجة بعلاقات AND ، ومجموعة واحدة فقط بعلاقات OR. وفقًا لذلك ، لم يعد من الممكن كتابة شروط النموذج (A و B) أو (C و D). اعتمادًا على التدفق الذي تمت تصفيته ، قد لا تعطي هذه الحقيقة أي ميزة كبيرة ، ولكنها أيضًا تعطي نتيجة ملموسة.

موفري أحداث قاعدة مجانية أخرى


في هذا القسم ، أولاً وقبل كل شيء ، أود أن أتحدث عن آلية ETW (تتبع الأحداث لنظام التشغيل Windows). يقوم كل من Windows و Sysmon المدمج بتسجيل الأحداث باستخدام هذه الآلية. في الواقع ، لكل إجراء في النظام يمكننا الحصول على حدث. أسهل طريقة لإلقاء نظرة على الحجم المحتمل لمثل هذه الأحداث هي تمكين خيار عارض الأحداث - عرض - إظهار التحليلات وسجل تصحيح الأخطاء. حتى لا تملأ الأحداث نظامك على الفور ، يتم تنشيط كل سجل بشكل منفصل في قائمة السياق الخاصة به. تنظر إلى هذا الخير وتسأل نفسك بشكل لا إرادي - لماذا نحتاج إلى Sysmon بمثل هذا العدد من الأحداث المختلفة؟

والحقيقة هي ، أولاً ، أن هذه السجلات كانت مخصصة أصلاً للتصحيح ، وليس لأغراض أمنية. لذلك ، لم يتم توفير مجموعتهم المركزية. على وجه الخصوص ، لن تجد FQDN للمضيف الذي تم إنشاؤه عليه في أي مكان. بالطبع ، يمكن حل السؤال عن طريق أدوات خارجية من صغيرة إلى كبيرة ، من البرامج النصية إلى خدمات تسجيل كاملة. ولكن عليك أن تتذكر أن هذا برنامج إضافي في مؤسسة كبيرة ، وبالتالي ، مهمة منفصلة. دعني أذكرك أننا في المقدمة انطلقنا من مبدأ البساطة في النشاط الإضافي لتثبيت البرنامج.

وثانيًا ، تشير هذه السجلات إلى الكثير من التفاصيل حول كل عطس بحيث يتعين عليهم أيضًا تحديد المعلومات شيئًا فشيئًا. تعتبر إدخالات دفتر اليومية ذرية حقًا وتتطلب ارتباطًا مسبقًا أو تخصيبًا حتى يعمل المحلل بشكل منتج. بعد كل شيء ، يعرف المبرمج الذي قام بتصحيح إبداعه باستخدام هذه الأحداث كيف يجب أن يعمل كل شيء. ويفكر حارس الأمن ، خاصةً على نطاق واسع ، في مستويات أعلى بكثير من التجريد. نعم ، بالإضافة إلى ذلك ، يبحث عن نشاط غير شرعي غير معروف. ويؤدي بيان المشكلة هذا إلى وحدة برمجية إضافية ستنفذ المعالجة المسبقة. هذا سوف يعقد مفهومنا مرة أخرى.

على الرغم من أننا لم نبتعد عن تسجيل الدخول باستخدام Windows ، فلن ننسى ذكر WMI. تلتقط هذه الأداة بشكل أساسي تغييرات الحالة دون عرض مصدرها. كمثال على استثناء ، تحميل dll: يعرض وحدة dll نفسها والعملية التي يتم تحميلها. ولكن لأغراض أمنية ، يتطلب هذا الحدث أيضًا إثراء ، حيث يتم استنفاد معلوماته. بشكل عام ، فإن انعدام السمك والسرطان من الأسماك. ولكن لا يمكن استخدام الأداة إلا كإضافة.

خيار آخر شائع ، ولكن لم يتم تناوله في المقالة ، هو التذبذب.. هناك سببان رئيسيان لعدم اعتبارنا لهذا الحل هنا هما التردد المنخفض لتحديثات المنتج (ناقصًا من حيث الأمان والوظائف) والاستخدام المتزايد لموارد النظام مقارنة بالخيارات الأخرى (يتم تضمين قاعدة بيانات كاملة). من المفترض أن الحل مناسب تمامًا للخوادم التي تم تطويرها من أجلها. ولكن بالنسبة لمحطات العمل ، ربما مع الأجهزة القديمة - بالكاد.

في الآونة الأخيرة ، ظهرت العديد من الأدوات التي ليست واسعة الانتشار مثل تلك التي تم النظر فيها. وتشمل هذه Velociraptor و SilkETW. إنهم لا يخترعون دراجة ويعملون أيضًا على أعلى معايير Windows - ETW. في ضوء حجم المواد التي تم الاستشهاد بها بالفعل ، تقرر فصل هذه الأدوات في منشور منفصل (مع توفر الوقت والجهد ، بالإضافة إلى الشعور بالطلب).

خلاصة عامة


في سياق المقارنة ، تبين أن أحداث Sysmon التي لها نظائر تتفوق عادةً على أحداث Windows في خصائصها الوظيفية. بعض أحداث Sysmon ببساطة ليس لها بدائل.

ومع ذلك ، لا تنس أنه ، أولاً ، يجب اختيار الحل بناءً على مهامك. إذا كنت تقوم فقط ببناء نظام مراقبة ، وفي السنة الأولى تخطط لتنفيذ طرق للكشف عن سبع إلى عشر حوادث ، كما قال جارتنر ، فيجب أن يكون لديك ما يكفي من أحداث Windows. وربما أكثر من عام.

ثانيًا ، يتم أيضًا تحديث نظام تسجيل أحداث Windows باستمرار ، وخلال كتابة هذه المقالة ، ظهرت معرفات Windows مثل 4798 و 4799. ومن الممكن أيضًا أن يتم استكمال مجموعة الحقول. وبالتالي ، فإن هذه المقارنة ، على الرغم من أنها الأكثر اكتمالًا ، استنادًا إلى المعلومات التي نمتلكها ، ليست محفورة في الحجر.

وثالثًا ، لا تزال Sysmon أداة خارجية تنطوي على عدد من المخاطر. على سبيل المثال ، كانت لدينا حالات تم فيها إنهاء تسجيل EIDs الفردية دون الإعلان عن سبب. في هذه الحالة ، كان تسجيل الأحداث الأخرى كالمعتاد. يزعم أكثر الزملاء البارزين أن المشكلة تتعلق بتسرب الذاكرة في الإصدار 10.41. لكن الإصدار 10.42 ، حيث يتم إغلاق هذه المشكلة كليًا أو جزئيًا (مع سجل التغيير في Sysmon ، كل شيء ليس مفصلاً للغاية) ، لم تحل مشاكلنا في هذا الاتجاه. فقط مكون إلغاء التثبيت يساعد. كل الأمن ويوم جيد!

بفضل تيمورzinintللمساعدة في إعداد المنشور.

UPD1 : اتضح أنه من الصعب حقًا الاحتفاظ بسجل تغيير عادي أو إضافة ميزات جديدة إلى الوصف الرئيسي ، كما اكتشفنا (شكرًا ، Uncle Dimshudv) ، شاحنة مع nishtyaks سلمت في شارعنا بالفعل قبل 9 أشهر ... ملخص: في Sysmon يمكنك القيام (A و B) أو (C و D) ، shh فقط ...

More articles:


All Articles