Get best of the week

Windows vs Sysmon


Pada konferensi ZeroNights terakhir, selama komunikasi informal dengan kolega kami dalam sistem pemantauan, kami ditanya pertanyaan sederhana pada pandangan pertama - secara luas diyakini bahwa Sysmon harus digunakan untuk sepenuhnya memonitor titik akhir dengan OS Windows, benarkah begitu? Dan jika demikian, untuk alasan khusus apa (halo Seryozha!)? Kami tidak dapat menemukan jawaban komprehensif yang tidak ambigu dalam pengetahuan kami atau perbandingan yang sesuai di Internet, oleh karena itu, pertama-tama, untuk diri kami sendiri, dan yang paling penting, sehingga di masa depan sumber seperti itu masih akan tersedia dari masyarakat, kami memutuskan untuk menjelajahi topik ini dan membandingkan acara tatap muka Windows dan Sysmon. Seperti kata pepatah, "1 ... 2 ... 3 ... Berjuang!".


pengantar


Setiap spesialis di bidang keamanan informasi dipaksa untuk bekerja dalam kerangka kerja tertentu. Misalnya, dalam anggaran terbatas, keamanan, dengan pengecualian yang jarang, bukanlah cara utama bagi organisasi untuk menghasilkan laba atau menjalankan fungsi lain dalam bisnis intinya. Oleh karena itu, dalam kondisi sumber daya terbatas yang dimiliki organisasi, hanya sebagian kecil dari mereka yang sering dialokasikan ke sektor keamanan untuk mempertahankan arah ini pada tingkat minimum yang memadai (sesuai dengan persyaratan tertentu). Bahkan dengan sumber daya yang tidak terbatas, akan selalu ada batasan lain yang tidak memungkinkan untuk membawa tingkat keamanan secara absolut. Ini adalah kerentanan terkenal dari nol atau hari normal (manajemen patch tak berujung), dan perlombaan senjata peretas dan penjaga keamanan,dan dinamika pengembangan infrastruktur TI, dan banyak lagi.

Dalam hal ini, lebih dari sebelumnya, masalah memprioritaskan sarana dan metode perlindungan sangat mendesak, termasuk ke arah pemantauan. Di bidang ini, menurut statistik berdasarkan data matriks MITER ATT & CK , yang sudah kami tulis tentang terakhir kali, prioritasnya adalah sebagai berikut: tempat pertama tanpa syarat diambil oleh sumber peristiwa keamanan seperti titik akhir.


Sumber ini mengarah pada sejumlah teknik matriks yang dapat diidentifikasi berdasarkan peristiwa yang direkam di atasnya. OS paling umum untuk titik akhir tetap Microsoft Windows. Mengumpulkan persis lognya di sebagian besar infrastruktur perusahaan akan memberikan hasil terbaik dalam rasio semua jenis biaya terhadap cakupan perangkat jaringan dan cakupan teknik jahat. Ini dikonfirmasi oleh statistik penulis yang sama. Tempat 1-3, 5, 7, 8, 10 dan bagian 4 hanya menempati apa yang disebut peristiwa dasar ini.


Tapi, seperti dalam lelucon terkenal, ada satu peringatan. Dalam beberapa tahun terakhir, telah diterima secara luas bahwa log Windows perlu ditambah, jika tidak diganti, dengan acara Sysmon - mereka mengatakan mereka lebih lengkap, lebih baik, lebih diadaptasi sebagai alat pemantauan dari sudut pandang keamanan informasi.

Selain itu, pendekatan ini dalam beberapa hal memenuhi konsep minimalis. Setiap produk perangkat lunak yang Anda coba tambahkan ke Anda sendiri atau secara sukarela diberikan kepada Anda oleh pelanggan perusahaan adalah peningkatan di area serangan, administrasi dan biaya pembaruan, dan titik kegagalan. Dan sering - dan hanya waktu sebelum penerapan sistem pemantauan Anda, sementara pendekatan Anda melewati persetujuan.

Sysmon dikembangkan oleh spesialis Microsoft, dan baru-baru ini diserap oleh perusahaan ini, yang memberikan tingkat kepercayaan tertentu pada bagian TI. Selain itu, log ditulis dalam bentuk log .evtx, yang memungkinkan Anda mengumpulkan dan memprosesnya menggunakan alat dan metode yang sama seperti log Windows biasa.

Segera buat reservasi yang artikelnya ternyata besar, walaupun kami mencoba menduplikasi dan mengkompres materi secara minimal. Pembaca, tentu saja, bisa mengatakan, merujuk kita pada lelucon tentang Lenin: "Tapi dia bisa memotong ...". Atau bahwa "publikasi dapat dibagi menjadi dua atau tiga bagian agar lebih mudah dibaca." Tetapi bagi kami, terlepas dari volume materi yang disiapkan, kami harus memberikan jawaban lengkap untuk pertanyaan rekan-rekan kami di toko, dan pencarian akan lebih nyaman. Jadi, agar tidak kehilangan apa-apa, kami sarankan Anda membaca artikel 1 kali sepenuhnya, mungkin membuat catatan untuk diri sendiri dan hanya kemudian kembali ke grup acara tertentu dan mempelajari secara rinci.

Untuk kenyamanan, kami menambahkan daftar isi:
Pendahuluan
Daftar isi
Format perbandingan
Membuat proses
Koneksi jaringan
Mengakhiri proses
Mengunduh driver
Mengakses proses
Membuat file
Tindakan registri
Konfigurasi WMI Permintaan
DNS Acara
Sysmon unik
Acara penyaringan Peristiwa peristiwa penyaringan acara
bebas lainnya Penyedia acara basis gratis lainnya
Output umum

Format perbandingan


Mengapa dan apa yang dibandingkan, tampaknya menjadi jelas. Dan bagaimana ini dilakukan dan mengapa sebenarnya?

Kami memutuskan untuk membuat perbandingan dalam bentuk tabel untuk masing-masing kelompok acara yang mencerminkan aktivitas tertentu dalam sistem. Misalnya, peristiwa dengan ID (ID Peristiwa, EID) 12, 13 dan 14 di Sysmon, yang mencerminkan aktivitas dengan registri, bahkan tidak difilter secara terpisah, meskipun mereka berbicara tentang aksi atom yang berbeda. Dengan logika yang sama, sisa pengelompokan dibuat.

Kelompok-kelompok semacam itu hanya memasukkan peristiwa-peristiwa serupa. Misalnya, analog dari acara Sysmon EID 6 adalah acara Windows EID 6. Pada saat yang sama, setidaknya ada 219 dan 7036 peristiwa Windows tentang memuat driver. Tetapi mereka muncul jika gagal. Itu jangan membawa muatan semantik yang sama dan, jika perlu, dapat melengkapi acara Sysmon atau Windows, tergantung pada apa yang kami putuskan untuk kumpulkan.

Untuk kelompok acara yang tercermin dalam tabel, bidang informatif (yang kami gunakan untuk tujuan pemantauan) yang terkandung dalam acara disajikan dalam bentuk string. Untuk setiap bidang seperti itu, namanya ditunjukkan. Untuk Windows, 2 opsi dimungkinkan, untuk tampilan xml dan majalah (siapa yang mengira itu akan cocok?) Jika mereka berbeda lebih dari spasi. Ini dilakukan karena nama bidang yang akan jatuh ke dalam sistem pemantauan mungkin tergantung pada metode pengumpulan. Baris juga berisi data acara (untuk memahami formatnya) dan komentar (jika menurut kami ini diperlukan).

Bidang dengan beban semantik yang sama untuk kedua sumber digabungkan dalam satu baris. Dengan tidak adanya bidang dengan beban semantik yang sama untuk salah satu sumber, tanda hubung ("-") ditunjukkan dalam bidang yang sesuai dengannya.

Baris yang berisi informasi tentang entitas tertentu, misalnya, subjek yang melakukan tindakan, digabungkan menjadi satu grup semantik.

Perbandingan dibuat untuk versi Windows Kernel 6.3 (Windows 2012R2) dan 10.0 (Windows 10, 2016, 2019). Versi sebelumnya tidak dipertimbangkan, karena meskipun mereka masih tersebar luas, mereka secara bertahap menghilang. Jika peristiwa untuk versi kernel yang berbeda tidak berbeda, kolom digabungkan menjadi satu untuk mengurangi duplikasi.

Karena kursor adalah waktu penuh, kolom disusun dalam urutan berikut dari pusat ke tepi: data, nama bidang, komentar. Ini membuat perbandingan lebih visual. Untuk pemisahan kolom secara visual sesuai dengan sumber yang dirujuk, warna digunakan.

Unik untuk Sysmon EID (karena dalam hal ini merupakan alat pelengkap, rekaman log OS termasuk dalam fungsi dasar OS) diberikan dalam bagian terpisah.

Bagian dengan tabel menunjukkan pengaturan GPO yang harus dibuat untuk mengaktifkan rekaman di log peristiwa grup, sebagai jumlah opsi audit yang mungkin umumnya cukup besar. Untuk Sysmon, pengaturan seperti itu tidak ditampilkan, karena semuanya terkandung dalam satu file konfigurasi.

Proses pembuatan


Secara paradoks, mereka memutuskan untuk memulai dari awal. Dan kemudian mereka juga tidak asli dan pergi dalam rangka - dalam meningkatkan EID Sysmon.

Pencatatan data peristiwa di Windows diaktifkan sebagai berikut:

β€’ Konfigurasi Komputer - Kebijakan - Pengaturan Windows - Pengaturan Keamanan - Konfigurasi Kebijakan Audit Lanjutan - Kebijakan Audit - Pelacakan Terperinci - Penciptaan Proses Audit - Keberhasilan memungkinkan pencatatan peristiwa itu sendiri;

β€’ Konfigurasi Komputer - Kebijakan - Template Administratif - Sistem - Penciptaan Proses Audit - Sertakan baris perintah dalam acara pembuatan proses - menambahkan baris perintah dari proses yang dimulai ke acara, yang seringkali memungkinkan untuk membedakan awal yang sah dari yang tidak sah.

Perbandingan dalam format yang dijelaskan di atas disajikan dalam tabel berikut.


Selanjutnya, semua tabel diwakili oleh gambar dan dapat diklik. Karena, pertama, kami tidak menemukan cara yang baik untuk mentransfer tabel ke penurunan harga atau HTML sambil mempertahankan lebar kolom atau tanda hubung sesuai dengan versi yang ada di Excel. Dan kedua, isinya tidak terlalu berharga untuk diindeks, kecuali untuk komentar. Jauh lebih berharga dalam tabel adalah komposisi bidang yang dibahas dalam artikel ini dan format data yang harus Anda kerjakan jika sumber acara ini digunakan.

Pertimbangkan secara berurutan, tetapi jangan baris demi baris - masing-masing akan melakukan analisis terperinci untuk dirinya sendiri. Di bagian ini dan di bawah ini, kami hanya akan membahas informasi yang ditemui untuk pertama kalinya. Segera mulai dengan contoh perilaku ini. Bidang-bidang bagian Sistem hadir dalam setiap peristiwa yang termasuk dalam log, terlepas dari sumbernya - Sysmon atau Windows. Mereka termasuk informasi umum:

  • Nama penyedia acara.
  • EID
  • Waktu ketika acara dicatat.
  • Nama majalah tempat kami mendapatkan acara ini.
  • Tuan rumah di mana acara itu terjadi.

Nama penyedia dan log setelah koneksi biasanya tidak digunakan oleh analis. Tetapi mereka memungkinkan untuk memahami di mana dan siapa yang menulis log, yang penting jika proses pengumpulan belum dimulai. Waktu, tuan rumah, dan EID adalah suar utama tempat penyaringan utama peristiwa dilakukan.

Lebih lanjut, di antara bidang yang ingin saya catat - GUID untuk sesi pengguna dan proses anak dan orang tua hanya ada di log Sysmon. Dan untuk celengan yang sama, karena keanehan - ID proses (baru dan induk) dalam acara Windows ditulis dalam heksadesimal, meskipun ditampilkan dalam notasi desimal dalam Task Manager yang sama. Seperti kata pepatah, senang debugging ("-Ingin meningkatkan? -Github") ...

Baris perintah ketika memulai proses di Windows events memiliki format berbeda tergantung pada utilitas yang digunakan untuk memulainya. Tetapi dalam Sysmon, penulis ingin dan bisa - format tidak tergantung pada input lainnya. Saya tidak akan menilai alasannya, tetapi pembuat konten SIEM tidak akan menulis terima kasih kepada Microsoft tentang hal ini, itu sudah pasti.

Fitur pembeda utama dari Sysmon untuk ini, serta untuk peristiwa lain yang mengandung bidang ini, saya akan memanggil hash dari file yang dapat dieksekusi. Format hash dipilih dalam konfigurasi Sysmon.

Sekali lagi, dari bonus Sysmon tambahan yang menarik - bidang Nama Aturan. Faktanya, ini adalah tag yang nyaman untuk menandai filter tertentu dalam file konfigurasi, dan kemudian menggunakannya saat menganalisis peristiwa. Misalnya, kita dapat mengatakan bahwa awal proses X mengacu pada taktik Y atau teknik Z. Pendekatan ini menarik baik dari sudut pandang analis dan dari sudut pandang pengembang konten SIEM atau Sysmon - ini memungkinkan kita untuk memahami alasan mengapa kami memutuskan untuk mengumpulkan acara ini.

Kesimpulan


Sysmon jauh lebih baik untuk memperbaiki grup acara ini:

  • GUID , , , , ID ( ). , , . . ID , , SIEM, . GUID, β€” .
  • β€” β€” , , . β€” Sysmon , SIEM ( ). - β€” , . , SIEM . , , IBM QRadar. , - . , , β€” Windows , , .
  • Rule Name .
  • Penerapan bidang unik yang tersisa, bahwa dalam acara Windows, bahwa dalam acara Sysmon, memainkan peran, seperti yang mereka katakan dalam bahasa Inggris, kasus per kasus. Oleh karena itu, untuk memutuskan pilihan log tertentu, atau secara umum menggabungkannya, juga perlu kasus per kasus.

Koneksi jaringan


Merekam peristiwa ini di Windows: Konfigurasi Komputer - Kebijakan - Pengaturan Windows - Pengaturan Keamanan - Konfigurasi Kebijakan Audit Lanjutan - Kebijakan Audit - Akses Objek - Koneksi Platform Penyaringan Audit

Mengapa Anda memutuskan untuk fokus pada peristiwa Platform Penyaringan Windows (WFP), dan bukan pada Windows Firewall? Jawabannya sederhana. Berdasarkan praktik kami, titik akhir dalam bentuk antivirus sudah ada di host. Meskipun mereka tidak dirancang untuk memonitor kejadian dasar sistem (itulah sebabnya mereka tidak cocok untuk tujuan kita), namun, dalam kenyataan modern, mereka selalu menyertakan firewall host. Untuk alasan ini, untuk menghindari duplikasi, Windows Firewall biasanya dibatalkan. Oleh karena itu, tidak ada yang menulis ke kolonel ... WFP, meskipun dapat menyaring lalu lintas, kami menggunakannya hanya untuk memantau. Oleh karena itu, duplikasi tidak ada.


Tabel tersebut menunjukkan bahwa jika kita mencoba untuk bergantung pada peristiwa Windows, maka USG pengguna dan FQDN dari host yang berinteraksi harus dipulihkan oleh pengayaan acara. Meskipun, jika Anda memikirkannya, lebih penting bagi kami untuk mengetahui proses mana yang telah membuat koneksi, dan bukan pengguna mana. Misalnya, malware masuk ke pusat C&C-nya. Lagi pula, kami ingin mencari tahu siapa yang memulai proses atau membuat insiden berdasarkan pemahaman bahwa notepad tidak masuk ke Internet itu sendiri (mis. Berdasarkan informasi yang tersedia di acara tersebut).

Dan dengan FQDN bahkan lebih sederhana - semua sistem modern menyertakan komponen CMDB sebagai fungsi dasar atau tambahan. Dan jika tidak, itu pasti layak diisi dengan solusi pihak ketiga. Mengetahui infrastruktur Anda adalah dasar dari keamanan informasi secara umum. Jadi informasi tersedia baik melalui pengayaan atau melalui kartu aset, yang akan memungkinkan penggunaannya dalam korelasi. Yang utama adalah, jika mungkin, jangan lupa untuk menghubungkan log DHCP sehingga informasinya mutakhir.

Semua bidang unik lainnya tidak begitu signifikan, misalnya:

  • Pelabuhan terkenal. Kami tidak akan bergantung pada bidang ini - tidak sia-sia bahwa ada cara untuk mendeteksi anomali dalam lalu lintas ketika, misalnya, terowongan ssh melewati port 80 daripada HTTP.
  • Arah lalu lintas. Mengetahui ID host (IP atau FQDN) dan sumber \ tujuan koneksi, Anda dapat dengan mudah menghitung arah.

Kesimpulan


Dan dalam hal ini, Sysmon menang, tetapi kurang signifikan - GUID, FQDN, Pengguna memberikan kenyamanan yang sangat mungkin dicapai dengan menggunakan SIEM atau solusi pihak ketiga. Meskipun demikian, usaha kecil tidak berarti nol.

Proses selesai


Secara umum, acara tersebut, sebagaimana telah disebutkan di atas, tidak terlalu sering digunakan, tetapi ...


Jika diperlukan, maka ada kemenangan yang jelas di sisi Windows. Kami hanya menambahkan cara mengaktifkan logging, dan langsung menuju kesimpulan.

Konfigurasi Komputer - Kebijakan - Pengaturan Windows - Pengaturan Keamanan - Konfigurasi Kebijakan Audit Lanjutan - Kebijakan Audit - Pelacakan Terperinci - Penghentian Proses Audit - Sukses

Kesimpulan


Dalam hal ini, keuntungan dari pencatatan OS asli dicapai dengan:

  • Menampilkan pengguna yang menyelesaikan proses.
  • Kehadiran Kode Keluar, yang dapat berbicara tentang penyelesaian proses secara teratur, serta kesalahan.

Pengunduhan driver


Acara Windows ini, tidak seperti yang lain, diaktifkan secara default dan masuk ke log Sistem. Tidak banyak bidang informatif dalam acara ini.


Dan lagi, langsung ke kesimpulan.

Kesimpulan


Dalam grup ini, acara Sysmon memberi analis informasi yang jauh lebih berguna. Misalnya, menurut peristiwa Windows, bahkan tidak jelas file driver mana yang digunakan. Oleh karena itu, dalam grup Windows ini di orang luar eksplisit.

Akses proses


Kami tidak akan menggolongkan kelompok peristiwa ini sebagai dasar, melainkan tingkat yang sedikit lebih tinggi. Dari sudut pandang keamanan, acara ini bisa sangat menarik. Ada banyak cara proses jahat dapat membuat sah Anda sedikit "lebih baik." Tentu saja, bukan demi altruisme, tetapi untuk tindakan jahat. Dan acara yang sedang dipertimbangkan hanya akan membantu kami menemukan banyak pilihan untuk kreativitas semacam itu. Log ini diaktifkan dalam Konfigurasi Komputer - Kebijakan - Pengaturan Windows - Pengaturan Keamanan - Konfigurasi Kebijakan Audit Lanjutan - Kebijakan Audit - Akses Objek - Objek Kernel Audit - Sukses


Windows memiliki dua keunggulan. Pertama, pemetaan pengguna dari mana proses sumber bekerja. Seperti yang kami sebutkan di atas, keuntungan biasanya diabaikan. Dan, kedua, HandleID dan hak akses.

Jika minat pada hak akses jelas, maka HandleID hanya berguna untuk mencari acara terkait. Hal ini diperlukan untuk mengatur interaksi pengguna melalui proses dengan objek OS - proses yang sama (utasnya), file, dll. Dengan demikian, acara tambahan dapat menunjukkan bagaimana, sebagai akibatnya, dan kepada siapa dikeluarkan dan kapan pegangan yang diperlukan untuk akses dicabut.

Menyentuh topik objek dan menangani untuk pertama kalinya, serta mencatat tindakan dengan mereka, penting untuk mencatat dua hal.

Pertama, untuk mencatat langkah-langkah tambahan di atas, penting untuk mengaktifkan pengaturan kebijakan audit tambahan, khususnya Konfigurasi Komputer - Kebijakan - Pengaturan Windows - Pengaturan Keamanan - Konfigurasi Kebijakan Audit Lanjutan - Kebijakan Audit - Akses Objek - Manipulasi Menangani Audit - Sukses. Perlu diingat bahwa volume acara ini bisa sangat besar. Menangani dikeluarkan setelah menerima permintaan, masing-masing, mencerminkan hak yang diklaim. Tetapi mengapa kita tidak dapat mengharapkan volume kejadian yang sama langsung dari audit akses ke objek?

Ini karena, kedua, perlu untuk mengaktifkan SACL pada objek yang direncanakan untuk dikendalikan. Bahkan, ini adalah daftar yang mirip dengan daftar hak akses DACL, yang menentukan apakah subjek atau objek yang dibuat dengan tokennya akan menerima keberhasilan atau kegagalan ketika mencoba mengakses objek. Tetapi SACL menentukan dalam bentuk yang kira-kira sama bukan hak untuk berinteraksi dengan objek, tetapi apakah peristiwa keamanan akan dihasilkan ketika meminta dan menggunakan hak-hak tertentu. Acara-acara ini akan mencakup belum diminta, tetapi benar-benar menggunakan hak akses.

Sebagai hasilnya, kami mendapatkan filter yang memungkinkan Anda untuk login hanya akses ke objek yang penting bagi kami dan hanya jenis-jenis akses yang penting bagi kami. Tetapi sebagai imbalannya, kita harus melampirkan SACL langsung ke setiap objek tersebut atau menunjukkan bahwa SACL diwarisi dari objek induk. Tentu saja, ini dapat diotomatisasi dengan berbagai metode. Tetapi mempertahankan konfigurasi alat otomasi seperti itu sepertinya tidak nyaman. Tidak seperti daftar Sysmon sederhana, yang juga dapat menyertakan wildcard, meskipun aneh. Kita akan berbicara tentang pemfilteran di Sysmon di bagian terpisah.

Untungnya, untuk objek bertipe, proses SACL sudah ada secara default untuk kernel versi 6.3 dan lebih tinggi. Jika seseorang dapat menentukan cara bagaimana menerima SACL ini (rekomendasi dari artikel inikami gagal memenuhi), akan menarik untuk didengar / didiskusikan.

Di sisi Sysmon, selain GUID dan Nama Aturan yang sudah dibahas, ada beberapa bidang yang lebih menarik. Pertama, PID dari proses target. Ini akan memungkinkan Anda untuk memantau aktivitas selanjutnya dari objek yang terinfeksi, karena mungkin ada beberapa contoh dari satu file yang dapat dieksekusi. Kedua, bidang CallTrace, yang menangkap tindakan dari sumber acara di target. Lihat ini dan sadari bahwa "sulap dan tidak ada penipuan" bukan hanya kata-kata. Di sisi lain, analisis terperinci semacam itu sudah menjadi nasib forensik. Dan siapa pun yang memiliki forensik khusus kemungkinan besar tidak berada di jalur awal untuk membangun sistem pemantauan.

Kesimpulan


Dalam grup ini, acara berbeda dalam jumlah bidang yang cukup besar. Tetapi jika dalam peristiwa Windows informasi ini kemungkinan besar memberikan kemudahan analisis awal, maka Sysmon menangkap data unik yang sulit diperoleh dengan cara lain. Karena itu, keuntungan tetap ada pada Sysmon.

Pembuatan file


Kategori ini termasuk dalam Windows sebagai berikut: Konfigurasi Komputer - Polie - Pengaturan Windows - Pengaturan Keamanan - Konfigurasi Kebijakan Audit Lanjutan - Kebijakan Audit - Akses Objek - Sistem File Audit - Sukses


Seperti dapat dilihat dari tabel, semua pro dan kontra dari grup ini mirip dengan yang sudah dijelaskan di atas. Termasuk pro dan kontra SACL (untuk file dan folder untuk semua pengguna (Semua Orang), termasuk Properties - Security - Advanced - Auditing - Add - Everyone - Success - Write (untuk file) atau Modify (untuk direktori)).

Anda juga dapat mengatur SACL pada file secara global dengan mendefinisikannya dalam Konfigurasi Komputer - Kebijakan - Pengaturan Windows - Pengaturan Keamanan - Konfigurasi Kebijakan Audit Lanjutan - Kebijakan Audit - Akses Objek - Audit Akses Objek Global - Sistem File. Tetapi jumlah peristiwa, terutama dengan file sementara, akan meningkat sebanding dengan volume operasi. Saya tidak akan mengatakan bahwa ini adalah pendekatan yang efektif, hanya mungkin untuk sebagian kecil operasi.

Saya ingin mencatat keanehan logging yang dimulai di sini. Untuk kelompok ini tidak tetap event Windows ketika file dibuat melalui Powershell, misalnya, New-Item C: \ FORTEST \ test.t . Pada saat yang sama, tindakan yang sama ditampilkan dengan sempurna di log Sysmon.

Kesimpulan


Grup acara ini paling baik direkam menggunakan Sysmon.

Tindakan Registry


Sejauh ini, berbicara tentang grup, kami hanya memasukkan satu acara di dalamnya. Tren ini akan berubah di sini.


Pencatatan peristiwa-peristiwa ini dikonfigurasikan sebagai berikut: Konfigurasi Komputer - Polie - Pengaturan Windows - Pengaturan Keamanan - Konfigurasi Kebijakan Audit Lanjutan - Kebijakan Audit - Akses Objek - Registri Audit - Sukses.

SACL untuk semua (Semua Orang) pengguna didefinisikan sebagai berikut: regedit.exe - cabang registry - Izin - Tingkat lanjut - Audit - Semua orang - Sukses - Izin Tingkat Lanjut - Kontrol Penuh atau Tetapkan Nilai, Buat Subkunci, Buat Tautan, Buat Tautan, Hapus, Tulis DAC.

Anda juga dapat mengatur SACL pada file secara global dengan mendefinisikannya dalam Konfigurasi Komputer - Kebijakan - Pengaturan Windows - Pengaturan Keamanan - Konfigurasi Kebijakan Audit Lanjutan - Kebijakan Audit - Akses Objek - Audit Akses Objek Global - Registri. Kontra dari pendekatan ini mirip dengan operasi file yang sama.

Segera fokus pada batasan. Untuk Sysmon, semua operasi (buat, modifikasi, hapus) dengan nilai atau peristiwa peningkatan kunci (kecuali untuk mengubah nama nilai). Untuk Windows:

  • Semua operasi dengan peristiwa peningkatan nilai.
  • Membuat kunci tidak memunculkan acara.
  • Mengganti nama kunci hanya memunculkan acara Access, nama kunci baru tidak ditampilkan; hak-hak yang diminta yang ditentukan dalam acara tersebut tidak memiliki korespondensi yang jelas tidak ambigu dengan operasi. Dengan demikian, operasi penggantian nama hanya dapat ditentukan dengan metode pengecualian - tidak ada peristiwa penghapusan 4660 dengan HandleID ini.
  • Menghapus kunci menimbulkan peristiwa 4663 diikuti oleh 4660.

Selain bidang yang dibahas pada bagian sebelumnya, penting untuk dicatat bahwa peristiwa Windows berisi data lama dan baru nama dan nilai kunci dan nilai, yang selama penyelidikan dapat membantu untuk memahami motif penyerang. Terutama jika nilai awal tidak standar atau tipikal, dan konfigurasi, termasuk data registri mesin yang sedang diselidiki, tidak disimpan di mana pun di luar host.

Kesimpulan


Seperti yang bisa kita lihat, ada batasan yang lebih ketat pada Windows logging. Dan untuk memperbaiki beberapa fakta, β€œkorelasi” diperlukan sama sekali, meskipun yang paling sederhana. Namun, ia mampu memberikan informasi yang sangat berguna dalam jumlah yang lebih besar. Sulit untuk memberikan preferensi kepada salah satu peserta untuk kelompok acara ini.

Konfigurasi WMI


Kami lolos ke grup acara kedua dari belakang. Ini adalah acara WMI. Seorang penyerang dapat membuat filter (filter) yang menerima peristiwa apa pun tentang perubahan kondisi sistem, dalam contoh kami, perubahan status layanan. Dan untuk melakukan tindakan tertentu berdasarkan peristiwa yang diterima dari filter ini, menciptakan konsumen. Dalam kasus kami, ini adalah entri dalam file log. Selanjutnya, ia harus menghubungkan output filter ke input konsumen, menciptakan ikatan antara filter dan konsumen. Ini akan menghasilkan sistem yang bekerja dalam kondisi tertentu. Sering digunakan untuk taktik Kegigihan . Justru dalam urutan yang dijelaskan bahwa peristiwa 19-21 Sysmon direkam.

Penting untuk dipahami bahwa membuat filter atau konsumen itu sendiri tidak menimbulkan ancaman, tetapi, tentu saja, dapat menjadi bagian dari serangan. Selain itu, untuk aktivitas jahat, filter yang ada, konsumen, atau keduanya dapat digunakan. Di sini itu seperti dengan pisau, atau, lebih dekat dengan topik sumber daya, dengan utusan terenkripsi. Pertanyaannya bukan pada alat, tetapi dalam penggunaannya.

Mari kita lihat lebih dekat ke meja.


Poin penting yang harus dicatat pertama-tama - peristiwa 5861 dihasilkan dalam log yang ditentukan hanya pada fakta pembuatan atau modifikasi berikutnya (termasuk dalam hal filter dan konsumen) dari bundel. Ini, di satu sisi, membuatnya lebih mudah untuk melacak aktivitas yang diduga berbahaya (tidak ada korelasi antara dua atau tiga peristiwa yang diperlukan) jika tidak hanya sekelompok yang dibuat di dalamnya. Dan di sisi lain, kita kehilangan waktu mulai dari aktivitas ini jika filter atau konsumen dibuat dengan tepat di dalam kerangka kerjanya dan sebelumnya.

Apakah ini penting? Kasus per kasus. Jika kita mulai melepaskan urutan insiden dan melihat bahwa filter atau konsumen yang tidak lazim dan dianggap berbahaya telah dibuat dua tahun lalu, maka kita segera menyadari bahwa penyerang telah berada di rumah bersama kita selama lebih dari dua tahun. Dan jejak serangan harus dicari setidaknya hingga kedalaman ini. Seberapa sering ini terjadi? Ini pertanyaan utamanya.

Tetapi jika perubahan dilakukan pada filter atau konsumen dari bundel yang ada, kita akan melihat keseluruhan gambar dalam satu peristiwa. Sementara Sysmon hanya akan mencerminkan perubahan-perubahan (objek itu) yang dibuat.

Di antara perbedaan-perbedaan lain: dalam peristiwa Sysmon, data tercermin dalam bentuk yang lebih terstruktur dan dalam format yang lebih nyaman. Misalnya, alih-alih SID dalam format atipikal, login pengguna langsung disajikan. Tetapi datanya sedikit kurang. Mungkin ini penting untuk kasus Anda.

Kami menyimpulkan dengan batasan. Pertama, terlepas dari kenyataan bahwa jurnal ini telah hadir sejak Windows 2012 (kernel 6.2), kami tidak dapat memperoleh peristiwa ini bahkan untuk kernel 6.3 (2012R2), yang dipelajari dalam artikel tersebut. Mungkin ini karena tidak adanya tambalan.

Kedua, menurut penulis iniartikel, filter untuk acara pengatur waktu tidak diperbaiki oleh Sysmon. Dimungkinkan untuk tidak mengambil kata, tetapi untuk memeriksa. Apalagi versi Sysmon sudah tua. Tapi di sini preseden penting - tidak ada beberapa jenis filter dan konsumen WMI. Dari penelitian semacam itu, ditambah dengan perincian, artikel terpisah dapat dibuat. Cukup uji jenis target untuk memahami dengan pasti apa yang akan didaftarkan.

Kesimpulan


Dalam hal ini, kami lebih nyaman menggunakan acara Windows. Dari sudut pandang kenyamanan: lebih banyak data, tidak perlu untuk korelasi primer. Jadi dari sudut pandang penetapan tujuan - itu memperbaiki penciptaan mekanisme (berdasarkan bagian yang baru, dimodifikasi atau yang ada), dan bukan bagian individu.

Kueri DNS


Jadi, kami beralih ke grup terakhir yang dibandingkan, tetapi masih jauh dari kesimpulan artikel kami. Jenis ini dan rangkaian acara yang terkait baru-baru ini tidak hanya berdasarkan penampilan di artikel kami, tetapi juga dengan menambahkan Sysmon ke toolkit.

Selama beberapa tahun terakhir, topik menggunakan DNS untuk tujuan lain, misalnya, untuk menerima perintah dari C&C atau mencuri informasi melalui saluran ini, telah menjadi populer. Kemungkinan besar tidak dengan sendirinya - kami akan merujuk cerita tentang penggunaan ICMP dan saluran DNS seperti itu menjadi nol. Pada saat itu, para siswa yang akrab dengan canggih dalam enkapsulasi lalu lintas mainan untuk mencapai server permainan yang didambakan dari jaringan institut melalui saluran yang hanya diizinkan (halo, Zhenyatumbochko!). Ini memungkinkan entah bagaimana menghabiskan waktu dengan membosankan atau dengan cepat menguasai laboratorium mereka. Dan itu bukan ide mereka.

Tapi belum lama ini, konsep seperti DoH telah ditambahkan ke saluran kebocoran ini, yang mempersulit pendeteksian lalu lintas DNS yang mencurigakan di tingkat jaringan.

Atau mungkin itu hanya taktik pemasaran - untuk menjual yang baru, yang juga sudah lama terlupakan. Atau timbulnya meluasnya saluran semacam itu dalam aktivitas berbahaya yang terdeteksi. Kami tidak menggali jauh ke dalam masalah ini, siap untuk mengumpulkan biji-bijian - tiba-tiba salah satu pembaca memutuskan untuk menjatuhkan sedikit kebijaksanaan dalam komentar.

Jadi, lebih dekat ke intinya. Aktifkan Peraga Peristiwa - Log Aplikasi dan Layanan - Microsoft - Windows - Acara Klien DNS - Operasional - Menu Konteks - Aktifkan Log.


Semua sama seperti yang sudah dibahas. Adapun informasi tentang subjek, kami memperhatikan indikasi eksplisit dari gambar file yang dapat dieksekusi yang mengeksekusi permintaan dalam acara Sysmon.

Jika kita berbicara tentang objek - ada lebih banyak informasi di log Windows. Tetapi ada beberapa "tapian" yang penting. Pertama, informasi tersebut didistribusikan melalui beberapa peristiwa dengan segala konsekuensinya.

Kedua, informasi disajikan dengan cara yang tidak intuitif. Menguraikan sebagian besar pengetahuan membutuhkan pengetahuan tentang bagaimana bidang-bidang paket terbentuk, dan kemampuan untuk mengubah data ini kembali menjadi fakta-fakta yang memfasilitasi keputusan analis. Kita dapat mengatakan bahwa, pada kenyataannya, analis tidak sia-sia mendapatkan gaji dan mengapa tidak duduk dan mencari tahu. Ya itu betul. Tetapi izinkan saya mengingatkan Anda, kita berbicara tentang tim kecil tanpa spesialis profil sempit, yang sebelumnya tidak ada akhir untuk tugas-tugas dalam keamanan informasi. Dan jika untuk setiap peristiwa yang dianalisis oleh SIEM, tugas seperti itu menjadi tanggung jawabnya, ia tidak akan menyusul mereka dalam beberapa tahun.

Kesimpulan


Untuk grup ini, pemenangnya sulit ditentukan. Sysmon menawarkan versi singkat, dari mana Anda dapat dengan mudah memeras sebagian informasi yang berguna. Windows menawarkan opsi tingkat lanjut. Masih "menjahit" itu, berurusan dengan konten dan bertanya pada diri sendiri apakah sudah waktunya untuk memperkenalkan NTA?

Acara Sysmon Unik


Kami menghubungkan hal-hal berikut ini dengan peristiwa unik Sysmon:

  • EID 4, 16. Meskipun dapat dilacak melalui log Windows, mereka hanya memberi tahu kami tentang peristiwa di Sysmon itu sendiri. Dengan demikian, dengan tidak adanya mereka tidak masuk akal.
  • EID 2 - EID 4663 dapat dianggap sebagai analog, tetapi bahkan dengan mempertimbangkan daftar hak akses yang disediakan di dalamnya, acara tersebut tidak sama granular dengan EID2, dan tidak diperkaya ke keadaan seperti itu dengan acara Windows lainnya.
  • EID 7-9, 17 β€” . ETW. , , .
  • EID 15 β€” , ETW. , β€” .
  • EID 18 β€” (named pipes) . , -, . -, , . ETW.


Ada tiga opsi untuk memfilter acara di sisi sumber.

Yang pertama hanya tersedia untuk acara Windows dan hanya untuk memantau akses dan operasi dengan objek. Diimplementasikan menggunakan SACL. Di antara kelemahan dari pendekatan ini adalah kompleksitas pengaturan granular (misalnya, Anda tidak bisa hanya memantau file yang ada atau dibuat dengan ekstensi .exe). Di antara kelebihannya adalah kemampuan untuk membatasi daftar pengguna untuk siapa operasi dengan objek dicatat.

Yang kedua tersedia untuk acara Windows dan acara Sysmon: menggunakan Xpath, dengan mempertimbangkan pembatasan yang diberlakukan oleh Microsoft. Karena metode ini tersedia untuk kedua sumber, uraian berada di luar cakupan artikel ini.

Dan yang ketiga adalah konfigurasi Sysmon. Ada banyak opsi:

  • Emulasi wildcard - berisi (semua | semua), tidak termasuk (semua | semua), diakhiri dengan, mulai dengan. Menggunakan berisi | tidak termasuk semua memungkinkan Anda untuk meniru ekspresi seperti "C: \ Windows \ *. Exe".
  • Pencocokan tepat - adalah, bukan, gambar.
  • Aritmatika - kurang dari, lebih dari.

Perlu dicatat bahwa pemfilteran seperti itu tidak tersedia untuk semua bidang. Misalnya, Anda tidak dapat memasukkan daftar putih perangkat lunak standar, pembuatan proses yang tidak kami minati. Sebuah contoh dari pengalaman kami - proses yang sah git.exe menciptakan puluhan ribu acara awal per hari di host pengembang kami. Mungkin, khususnya dalam kasus ini, perilakunya dapat diperketat, sehingga mengurangi poros peristiwa ini. Tetapi mengecualikan file yang dapat dieksekusi dengan nama gambar bukan ide yang baik. Yah, mungkin hanya antivirus dengan pertahanan diri yang diaktifkan.

Sysmon juga sedang menuju penyaringan canggih dengan menggabungkan kondisi dari berbagai bidang. Anda dapat membuat hanya satu grup aturan untuk setiap EID yang digabungkan dengan hubungan AND, dan hanya satu dengan ATAU hubungan. Dengan demikian, kondisi formulir (A dan B) atau (C dan D) tidak dapat lagi ditulis. Bergantung pada aliran yang difilter, fakta ini mungkin tidak memberikan keuntungan yang signifikan, tetapi juga memberikan hasil yang nyata.

Penyedia acara basis gratis lainnya


Pada bagian ini, pertama-tama, saya ingin berbicara tentang mekanisme ETW (Event Trace for Windows). Baik Windows dan Sysmon built-in log peristiwa menggunakan mekanisme ini. Bahkan, untuk setiap aksi dalam sistem kita bisa mendapatkan acara. Cara termudah untuk melihat potensi volume acara semacam itu adalah dengan mengaktifkan opsi Penampil Acara - Tampilan - Tampilkan Analytics dan Debug log. Agar peristiwa tidak segera mengisi sistem Anda, setiap log diaktifkan secara terpisah dalam menu konteksnya. Anda melihat kebaikan ini dan tanpa sadar bertanya pada diri sendiri pertanyaan - mengapa kita membutuhkan Sysmon dengan volume berbagai acara?

Faktanya adalah, pertama, log ini awalnya dimaksudkan untuk debugging, dan bukan untuk tujuan keamanan. Oleh karena itu, koleksi terpusat mereka tidak disediakan. Secara khusus, Anda tidak akan menemukan FQDN dari host di mana mereka dibuat di mana saja. Pertanyaannya, tentu saja, dapat diselesaikan oleh utilitas pihak ketiga dari kecil hingga besar, dari skrip ke layanan penebangan penuh. Tetapi Anda harus ingat bahwa ini adalah perangkat lunak tambahan di perusahaan besar, dan, karenanya, merupakan tugas yang terpisah. Biarkan saya mengingatkan Anda bahwa dalam pengantar kami melanjutkan dari prinsip minimalis dalam aktivitas tambahan untuk menginstal perangkat lunak.

Dan kedua, log ini melaporkan dengan sangat detail tentang setiap bersin sehingga mereka juga harus memilih informasi sedikit demi sedikit. Entri jurnal benar-benar atomik dan akan membutuhkan korelasi atau pengayaan sebelumnya agar analis dapat bekerja secara produktif. Lagi pula, seorang programmer yang mendebat ciptaannya menggunakan acara-acara ini tahu bagaimana semuanya harus bekerja. Dan seorang penjaga keamanan, terutama profil yang luas, berpikir pada tingkat abstraksi yang jauh lebih tinggi. Ya, di samping itu, ia mencari aktivitas tidak sah yang tidak dikenal. Pernyataan masalah seperti itu mengarah ke modul perangkat lunak tambahan yang akan melakukan pra-pemrosesan. Ini lagi akan memperumit konsep kami.

Meskipun kami tidak jauh dari logging menggunakan Windows, kami tidak akan lupa menyebutkan WMI. Alat ini pada dasarnya menangkap perubahan status tanpa menampilkan sumbernya. Sebagai contoh pengecualian, memuat dll: menampilkan modul dll itu sendiri dan proses yang memuatnya. Tetapi untuk tujuan keamanan, acara ini juga membutuhkan pengayaan, karena di sinilah informasinya habis. Secara umum, ikan dan kanker adalah ikan. Namun alat tersebut hanya bisa digunakan sebagai tambahan.

Pilihan populer lainnya, tetapi tidak dibahas dalam artikel, adalah osquery.. Dua alasan utama mengapa kami tidak mempertimbangkan solusi ini di sini adalah frekuensi rendah dari pembaruan produk (minus baik dalam hal keamanan dan fungsionalitas) dan peningkatan penggunaan sumber daya sistem dibandingkan dengan opsi lain (termasuk database lengkap). Agaknya, solusinya sangat cocok untuk server yang dikembangkan. Tetapi untuk workstation, mungkin dengan perangkat keras yang sudah ketinggalan zaman - hampir tidak.

Baru-baru ini, beberapa alat telah muncul yang tidak seluas seperti yang dipertimbangkan. Ini termasuk Velociraptor dan SilkETW. Mereka tidak menciptakan sepeda dan juga bekerja di atas standar Windows - ETW. Mengingat volume materi yang telah dikutip, diputuskan untuk memisahkan alat-alat ini menjadi publikasi yang terpisah (karena waktu dan upaya tersedia, serta rasa permintaan).

Kesimpulan umum


Dalam perjalanan perbandingan, ditunjukkan bahwa peristiwa Sysmon yang memiliki analog biasanya mengungguli peristiwa Windows dalam karakteristik fungsionalnya. Beberapa acara Sysmon tidak memiliki alternatif.

Namun, jangan lupa bahwa, pertama, solusinya harus dipilih berdasarkan tugas Anda. Jika Anda hanya membangun sistem pemantauan dan pada tahun pertama Anda berencana menerapkan metode untuk mendeteksi tujuh hingga sepuluh insiden, seperti yang diwariskan Gartner, maka Anda harus memiliki cukup banyak acara Windows. Dan mungkin lebih dari setahun.

Kedua, sistem pencatatan peristiwa Windows juga terus diperbarui, dan selama penulisan artikel ini, Windows EIDs seperti 4798 dan 4799 muncul. Mungkin juga kumpulan bidang ditambahkan. Dengan demikian, perbandingan ini, meskipun paling lengkap, berdasarkan informasi yang kami miliki, tidak diukir di atas batu.

Dan ketiga, Sysmon masih merupakan alat eksternal, yang melibatkan sejumlah risiko. Misalnya, kami memiliki kasus ketika penebangan EID individual diakhiri tanpa menyatakan alasannya. Dalam hal ini, rekaman acara lain seperti biasa. Rekan-rekan yang lebih terkemuka mengklaim bahwa masalah itu terkait dengan kebocoran memori dalam versi 10.41. Tetapi rilis 10.42, di mana masalah ini ditutup secara keseluruhan atau sebagian (dengan changelog Sysmon, semuanya tidak begitu rinci), tidak memecahkan masalah kami ke arah ini. Hanya komponen uninstall-instal yang membantu. Semua keamanan dan semoga harimu menyenangkan!

Terima kasih untuk Timurzinintuntuk bantuan dalam menyiapkan publikasi.

UPD1 : Ternyata sangat sulit untuk mempertahankan log perubahan normal atau menambahkan fitur baru ke deskripsi utama, jadi seperti yang kami temukan (terima kasih, Paman Dimshudv), sebuah truk dengan nishtyaks terbalik di jalan kami sudah 9 bulan yang lalu ... Ringkasan: di Sysmon Anda dapat melakukannya (A dan B) atau (C dan D), hanya ...

More articles:


All Articles