Sieci komputerowe, sieci bezprzewodowe, sprzęt do wideokonferencji - Network Expert

Monitoring bezpieczeństwa stacji roboczych Windows przy użyciu Sysmon i Elasticsearch

Monitorowanie działań na stacjach roboczych i serwerach pracujących pod kontrolą systemu Windows jest podstawą działania dobrego rozwiązania monitorującego bezpieczeństwo czy też szerzej patrząc rozwiązania SOC.

Możemy monitorować wiele parametrów maszyn, poczynając od logów generowanych przez aplikacje funkcjonujące na maszynach, a kończąc na ruchu sieciowym i analizie plików pod kątem ich bezpieczeństwa i integralności.

W niniejszym artykule posłużymy się jako SIEM rozwiązaniem Elastic Search

Rozwiązanie Elastic Search powinno zostać zasilone danymi pochodzącymi z maszyn końcowych. Do  tego celu może posłużyć zarówno rozwiązanie opensource Wazzuh jak i wbudowane w Elasticsarch rozwiązanie Elastic Agent. Elastic Agent będzie wykorzystany w ramach niniejszego artykułu.

Elastic Agent pozwala przekazywać logi maszyny „obserwowanej” bezpośrednio do silnika Elasticearch. Silnik Elasticsearch może podejmować również analizę logów na poziomie rozwiązania SIEM (normalizować logi, poddawać je obróbce za pomocą sygnatur bezpieczeństwa oraz korelować logi).

Dodatkowo warto rozwiązanie ElasticAgent doposażyć w możliwości związane z bardziej kompleksową analizą działania stacji roboczych przy użyciu Sysmon. Sysmon jest oprogramowaniem Microsoft, które umożliwia między innymi monitorować:

  • uruchamiane procesy, poza procesami systemowymi oraz charakterystycznymi dla zainstalowanego oprogramowania;
  • modyfikację czasu utworzenia/zmiany pliku: https://attack.mitre.org/wiki/Technique/T1099
  • połączeń sieciowych inicjowanych przez podejrzane w tym kontekście proces np. at.exe, javaw.exe, powershell);
  • procesów „wstrzykujące” kod do innych procesów https://attack.mitre.org/wiki/Technique/T1055
  • ładowanie driverów innych niż „aprobowane” przez Microsoft;
  • tworzenie i wykonywanie plików skryptowych (bat, chm, vbs i podobne);
  • modyfikacje rejestrów (https://attack.mitre.org/wiki/Technique/T1112 ): np. modyfikację działania antywirusa przez klucze rejestru.

Takie obserwacje zasilają nasz SOC. Poniżej trywialny dowód działania Elastic Agenta: obserwacja uruchomienia procesu z rozszerzeniami BAT.

Elastic dashboard

Potrzebujesz wsparcia? Napisz do nas!

    Wszystkie pola oznaczone (*) są wymagane




    Potwierdzam, że zapoznałem się z polityką prywatności - Polityka prywatności
    Zgadzam się na przetwarzanie moich danych osobowych (imię, nazwisko, adres email, numer telefonu) przez Sprzedawcę NETWORK EXPERTS Sp. z o.o. sp. k. ul. Chojnowska 8, 03-583 Warszawa w celu marketingowym. Wyrażenie zgody jest dobrowolne. Mam prawo cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Mam prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, oraz prawo do przenoszenia danych na zasadach zawartych w polityce prywatności sklepu internetowego. Dane osobowe w sklepie internetowym przetwarzane są zgodnie z polityką prywatności. Zachęcamy do zapoznania się z polityką przed wyrażeniem zgody. - Polityka prywatności


    Materiał przygotował Piotr Ksieniewicz – główny inżynier Network Expert

    [br] Piotr Ksieniewicz posiada ponad 10 letnie doświadczenie w pracy w sieciach IP. Inżynier CCIE#23799,  CISSP #774774 o specjalności Routing & Switching. Piotr lubi wyzwania dlatego z reguły przedłuża status CCIE innymi egzaminami – ma na koncie zdany egzamin pisemny z Security i Voice. Pracował zarówno w niewielkich sieciach jak i przy największych sieciach bankowych na świecie.

    Piotr Ksieniewicz

    Cyberbezpieczeństwo

    To również może Cię zainteresować:

    Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

    Network w liczbach

    0
    lat na rynku
    0
    realizacji
    0
    Klientów
    0
    projektów powyżej 100,000zł
    2022-05-19T11:14:54+02:00
    Przejdź do góry