En omfattende guide til at navigere i sysmon-logfiler

I et cybersikkerhedslandskab, som konstant ændrer sig, er det vigtigt at være på forkant med truslerne. Sysmon-logfiler spiller en afgørende rolle i denne indsats ved at give værdifuld indsigt og gøre det muligt for organisationer at styrke deres sikkerhedsniveau.

Windows er et dominerende operativsystem i virksomhedsmiljøer, og det er vigtigt at få en omfattende forståelse af Windows' hændelseslogfiler, deres særlige egenskaber og begrænsninger og potentialet for forbedring gennem sysmon.

Hvad er Sysmon-logfiler?

Sysmon-logfiler er hændelseslogfiler, der genereres af Microsoft System Monitor (sysmon). De giver detaljerede oplysninger om operationer på systemniveau i Windows og registrerer aktiviteter som processtart, netværksforbindelser, fil- og registreringsdatabaseændringer, driver- og serviceaktivitet og WMI-handlinger. Ved at analysere sysmon-logfiler kan sikkerhedseksperter opdage potentielle risici, spotte uregelmæssigheder og reagere på sikkerhedshændelser for at forbedre den overordnede systemovervågning og ‑sikkerhed.

Hvor gemmes sysmon-logfiler?

Sysmon-logfiler gemmes i Windows' hændelseslog. De befinder sig i Microsoft-Windows-Sysmon/Microsoft-Windows-Sysmon/Operational-hændelseslogkanalen.

Sådan henter du sysmon-logfiler:

• Åbn Logbog på Windows-systemet.
• Udvid Program- og tjenestelogfiler.
• Find Microsoft-Windows-Sysmon/Operational-loggen, og se sysmon-logposterne.

Hvorfor er sysmon-logfiler vigtige?

Sysmon-logfiler er vigtige, fordi de spiller en afgørende rolle i at forbedre systemsikkerheden og muliggøre effektive reaktioner på hændelser. Lad os se på et eksempel fra det virkelige liv for at forstå betydningen af sysmon-logfiler:

I en organisation kendetegnet ved en kompleks netværksinfrastruktur og et stort antal slutpunkter opdager sikkerhedsteamet en dag usædvanlig netværksaktivitet, der er et tegn på en potentiel sikkerhedsovertrædelse. For at undersøge hændelsen bruger de sysmon-logfiler, som er omhyggeligt konfigureret og distribueret i hele netværket. De finder en procesoprettelseshændelse i sysmon-logfilerne med et usædvanligt billedfilnavn og mistænkelige kommandolinjeinputs. En nærmere undersøgelse viser, at processen kommunikerer med mistænkelige eksterne IP-adresser.

Sikkerhedsteamet kan rekonstruere hændelsesforløbet ved hjælp af sysmon-logfilerne. De bliver opmærksomme på, at virksomhedens netværk er blevet infiltreret, og at en hacker har fået adgang til systemet. Logfilerne giver afgørende beviser på den skadelige proces og dens aktivitet, så teamet kan spore angrebets oprindelse, forstå dets indvirkning og udtænke en effektiv reaktionsstrategi.

Vigtige hændelser, der logføres af sysmon

Procesoprettelse

Procesoprettelse, svarende til hændelses-ID 1, i sysmon-logfiler giver værdifuld indsigt i oprettelsen af processer på et Windows-system. Disse logfiler indeholder vigtige oplysninger som proces-ID, overordnet proces-ID, billednavn, kommandolinjeparametre, oprettelsesindstillinger, filhashes, digitale signaturer, overordnede procesoplysninger og netværksforbindelser. Sysmons konfigurationsmuligheder gør det muligt at tilpasse de logførte oplysninger, så de passer til specifikke krav.

En proces ændrede en fils oprettelsestidspunkt

Hændelses-ID 2 i sysmon-loggen betyder, at en proces har ændret oprettelsestidspunktet for en fil. Denne hændelse giver indsigt i tilfælde, hvor en proces har ændret filens metadata, især oprettelsestidsstemplet. Ændringen af oprettelsestidspunktet kan være en bevidst handling udført af en autoriseret bruger til legitime formål. Men det kan også være et tegn på mistænkelig aktivitet eller et potentielt sikkerhedsbrud.

Netværksforbindelse

Hændelses-ID 3 i sysmon-logfiler repræsenterer netværksforbindelseshændelser. Den indeholder vigtige oplysninger som proces-ID (PID) for det program, der startede forbindelsen, kilde-IP og port på det lokale slutpunkt, destinations-IP og port på det eksterne slutpunkt samt den anvendte protokol. Analyse af netværksforbindelser hjælper med at overvåge netværkstrafikken, identificere mistænkelige forbindelser, spore programadfærd og undersøge sikkerhedshændelser. Husk, at strukturen og felterne i sysmon-loggene kan variere afhængigt af sysmon-versionen og konfigurationsindstillingerne.

Sysmon-tjenestens tilstand ændret

Hændelsen om tilstandsændring, angivet med hændelses-ID 4, kan angive enten korrekt start eller stop af sysmon-tjenesten. Start af tjenesten betyder, at sysmon-tjenesten er blevet startet, og at systemaktiviteten nu overvåges og logføres. Stop af en tjeneste sker, når den stoppes manuelt af en administrator, eller hvis der er et problem med selve tjenesten.

Driver indlæst

Når en driver er installeret, bliver den en integreret del af operativsystemets kerne, så den kan kommunikere med hardwareenheder og udføre opgaver på lavt niveau. Hændelsen Driver indlæst, der har hændelses-ID 6, registrerer detaljer om den procedure, der har ansvaret for at indlæse driveren, samt oplysninger om selve driverfilen.

Oprettelse og ændring af filer

Sysmon registrerer hændelser, når filer tilføjes, ændres eller fjernes fra systemet. Hændelses-ID 11 indeholder oplysninger om filens sti, den handling, der oprettede eller ændrede filen, og filens hash. Det gør det lettere at opdage uautoriserede filændringer eller mistænkelig adfærd.

WMI-aktivitet

Windows' WMI-styringsarkitektur gør det muligt for udviklere og administratorer at se og ændre systemdata og konfigurationsindstillinger og udføre instruktioner på afstand. Sysmon-loggen indeholder poster med hændelses-ID 19 (Wmihændelsesfilter) og 20 (Wmihændelsesforbruger), som henholdsvis indsamler oplysninger om WMI-hændelsesfiltrering og ‑hændelsesforbrug.

Forståelse af livscyklussen for sysmon-logadministration

Processen med at indsamle og analysere sysmon-logfiler involverer flere vigtige trin.

• Udrulning: Udrul sysmon på dine Windows-systemer for at begynde at indsamle oplysninger om hændelser. Du kan bruge automatiserede udrulningsteknikker som gruppepolitik eller scripting til masseinstallation eller downloade sysmon-softwaren fra Microsofts hjemmeside og installere den på hver maskine separat.
• Konfiguration: Konfigurer sysmon til at specificere de ønskede hændelser, der skal overvåges, og destinationen for logføring. En konfigurationsfil, der specificerer de hændelser, der skal overvåges og logføres, kan bruges til at opsætte sysmon. Du kan justere konfigurationsfilen til dine unikke behov ved at aktivere eller slette bestemte hændelsestyper efter behov.
• Indsamling af logfiler: Sysmon-logfiler skrives normalt i XML-format til Windows' hændelseslog. For at indsamle sysmon-loggene kan du bruge forskellige metoder som Windows Event Forwarding (WEF, videresendelse af hændelser), en centraliseret logføringsløsning eller en SIEM-løsning. Ved hjælp af disse teknikker kan du konsolidere logfiler fra flere systemer på ét sted til videre analyse.
• Lagring og opbevaring af logfiler: Det er vigtigt at have en passende strategi for lagring og opbevaring af logfiler, så du har plads nok til at lagre og opbevare dem i en hensigtsmæssig periode. Afhængigt af din organisations behov og compliancekrav kan du lagre logfiler lokalt på hvert system eller centralt i et system til logadministration.
• Analyse af logfiler: Analysér de indsamlede sysmon-logfiler ved hjælp af manuelle teknikker og automatiserede værktøjer. Sysmon-logfiler indeholder forskellige typer hændelser, herunder procesoprettelse, netværksforbindelser, oprettelse eller ændring af filer, ændringer af registreringsdatabasen og meget mere, for at identificere mistænkelig aktivitet, tegn på kompromittering og forstå systemets adfærd.
• Trusselsjagt: Sysmon-logfiler kan være et utrolig nyttigt værktøj til proaktiv trusselsjagt. Opret forespørgsler eller regler i dit SIEM- eller logadministrationssystem for at lede efter tegn på usædvanlig aktivitet eller genkendte angrebsmønstre. Med denne metode kan du få øje på sikkerhedsbrister eller mulige risici, som ikke altid er indlysende.
• Hændelsesreaktion og ‑forensik: Brug de analyserede sysmon-logfiler under hændelsesreaktioner og forensiske undersøgelser til at rekonstruere tidslinjer, spore angriberes handlinger og fastlægge indvirkningen af sikkerhedshændelser.

Hvordan understøtter EventLog Analyzer overvågning og undersøgelse af sysmon-logfiler?

ManageEngine EventLog Analyzer er en løsning til logadministration og SIEM, der forbedrer sysmons logovervågning ved at tilbyde centraliseret indsamling, analyse og rapportering. Den fungerer som en samlet platform til at indsamle, analysere, arkivere og rapportere om sysmon-logfiler, der produceres af Windows-systemer.

EventLog Analyzer:

• Sporer forskellige processer og giver detaljeret indsigt.
• Opdager effektivt angrebstendenser i logfiler.
• Bevarer logdata til fremtidig forensisk undersøgelse.
• Giver en omfattende forståelse af systemets drift ved at kombinere sysmon-logfiler fra flere kilder, herunder hændelseslogfiler og sysmon-indsamlere.
• Overvåger og registrerer aktivt ændringer af registreringsdatabasenøgler og ‑værdier.

Hvis du vil vide mere om, hvorfor EventLog Analyzer er et godt valg til sysmon-loganalyse, kan du klikke her.

Hvad så nu?