Monitoring bezpieczeństwa stacji roboczych Windows przy użyciu Sysmon i Elasticsearch
Monitorowanie działań na stacjach roboczych i serwerach pracujących pod kontrolą systemu Windows jest podstawą działania dobrego rozwiązania monitorującego bezpieczeństwo czy też szerzej patrząc rozwiązania SOC.
Możemy monitorować wiele parametrów maszyn, poczynając od logów generowanych przez aplikacje funkcjonujące na maszynach, a kończąc na ruchu sieciowym i analizie plików pod kątem ich bezpieczeństwa i integralności.
W niniejszym artykule posłużymy się jako SIEM rozwiązaniem Elastic Search
Rozwiązanie Elastic Search powinno zostać zasilone danymi pochodzącymi z maszyn końcowych. Do tego celu może posłużyć zarówno rozwiązanie opensource Wazzuh jak i wbudowane w Elasticsarch rozwiązanie Elastic Agent. Elastic Agent będzie wykorzystany w ramach niniejszego artykułu.
Elastic Agent pozwala przekazywać logi maszyny „obserwowanej” bezpośrednio do silnika Elasticearch. Silnik Elasticsearch może podejmować również analizę logów na poziomie rozwiązania SIEM (normalizować logi, poddawać je obróbce za pomocą sygnatur bezpieczeństwa oraz korelować logi).
Dodatkowo warto rozwiązanie ElasticAgent doposażyć w możliwości związane z bardziej kompleksową analizą działania stacji roboczych przy użyciu Sysmon. Sysmon jest oprogramowaniem Microsoft, które umożliwia między innymi monitorować:
- uruchamiane procesy, poza procesami systemowymi oraz charakterystycznymi dla zainstalowanego oprogramowania;
- modyfikację czasu utworzenia/zmiany pliku: https://attack.mitre.org/wiki/Technique/T1099
- połączeń sieciowych inicjowanych przez podejrzane w tym kontekście proces np. at.exe, javaw.exe, powershell);
- procesów „wstrzykujące” kod do innych procesów https://attack.mitre.org/wiki/Technique/T1055
- ładowanie driverów innych niż „aprobowane” przez Microsoft;
- tworzenie i wykonywanie plików skryptowych (bat, chm, vbs i podobne);
- modyfikacje rejestrów (https://attack.mitre.org/wiki/Technique/T1112 ): np. modyfikację działania antywirusa przez klucze rejestru.
Takie obserwacje zasilają nasz SOC. Poniżej trywialny dowód działania Elastic Agenta: obserwacja uruchomienia procesu z rozszerzeniami BAT.
Potrzebujesz wsparcia? Napisz do nas!
Materiał przygotował Piotr Ksieniewicz – główny inżynier Network Expert
[br] Piotr Ksieniewicz posiada ponad 10 letnie doświadczenie w pracy w sieciach IP. Inżynier CCIE#23799, CISSP #774774 o specjalności Routing & Switching. Piotr lubi wyzwania dlatego z reguły przedłuża status CCIE innymi egzaminami – ma na koncie zdany egzamin pisemny z Security i Voice. Pracował zarówno w niewielkich sieciach jak i przy największych sieciach bankowych na świecie.
Cyberbezpieczeństwo
To również może Cię zainteresować:
Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów
Network w liczbach