Полное руководство по навигации по журналам Sysmon

В постоянно меняющемся ландшафте кибербезопасности важно опережать угрозы. Журналы Sysmon играют решающую роль в этом начинании, предоставляя ценную информацию и позволяя организациям укрепить свой уровень безопасности.

Windows является преобладающей операционной системой в корпоративных средах, и крайне важно получить полное представление о журналах событий Windows, их отличительных характеристиках и ограничениях, а также о возможностях улучшения с помощью Sysmon.

Что такое журналы Sysmon?

Журналы Sysmon - это журналы событий, создаваемые Microsoft System Monitor (Sysmon). Они предоставляют подробную информацию об операциях на системном уровне в Windows и регистрируют такие действия, как запуск процессов, сетевые подключения, изменения файлов и реестра, активность драйверов и служб, а также действия WMI. Анализируя журналы Sysmon, эксперты по безопасности могут обнаруживать потенциальные риски, выявлять аномалии и реагировать на инциденты безопасности, чтобы улучшить общий мониторинг и безопасность системы.

Где хранятся журналы Sysmon?

Журналы Sysmon хранятся в журнале событий Windows. В частности, они находятся в канале журнала событий Microsoft-Windows-Sysmon/Operational.

Чтобы получить журналы Sysmon:

• Откройте средство просмотра событий в системе Windows.
• Разверните Журналы приложений и служб.
• Найдите журнал Microsoft-Windows-Sysmon/Operational и просмотрите записи журнала Sysmon.

Почему важны журналы Sysmon?

Журналы Sysmon важны, поскольку они играют решающую роль в повышении безопасности системы и обеспечении эффективного реагирования на инциденты. Давайте рассмотрим реальный пример, чтобы понять значимость журналов Sysmon:

В организации со сложной сетевой инфраструктурой и множеством конечных точек группа безопасности однажды обнаруживает необычную сетевую активность, указывающую на потенциальное нарушение безопасности. Для расследования инцидента они используют журналы Sysmon, которые были тщательно настроены и распределены по сети. Они находят событие создания процесса в журналах Sysmon с необычным именем файла образа и подозрительными входными данными командной строки. Дальнейшее исследование показывает, что процесс взаимодействует с подозрительными внешними IP-адресами.

Команда специалистов по безопасности может восстановить последовательность событий, используя данные, записанные в журналах Sysmon. Им становится известно, что сеть компании была взломана и хакер получил доступ к системе. Журналы предоставляют важные доказательства вредоносного процесса и его активности, позволяя команде отследить источник атаки, понять ее последствия и разработать эффективную стратегию реагирования.

Ключевые события, регистрируемые Sysmon

Создание процесса

Создание процесса, обозначенное событием событие с идентификатором 1, в журналах Sysmon предоставляет ценную информацию о создании процессов в системе Windows. Эти журналы предоставляют ключевые данные, такие как идентификатор процесса, идентификатор родительского процесса, имя образа, параметры командной строки, параметры создания, хэши файлов, цифровые подписи, информация о родительском процессе и сетевые подключения. Параметры конфигурации Sysmon позволяют настраивать регистрируемую информацию в соответствии с конкретными требованиями.

Процесс изменил время создания файла

Событие с идентификатором 2 в журналах Sysmon указывает на то, что процесс изменил время создания файла. Это событие дает представление о случаях, когда процесс изменил метаданные, связанные с файлом, в частности, метку времени создания. Изменение времени создания может быть преднамеренным действием, выполненным авторизованным пользователем в законных целях. Однако это также может быть признаком подозрительной активности или потенциального нарушения безопасности.

Сетевое подключение

Событие с идентификатором 3 в журналах Sysmon представляет события сетевого подключения. Он предоставляет важную информацию, такую как идентификатор процесса (PID) программы, инициирующей соединение, исходный IP-адрес и порт локальной конечной точки, целевой IP-адрес и порт удаленной конечной точки, а также используемый протокол. Анализ сетевых подключений помогает контролировать сетевой трафик, выявлять подозрительные подключения, отслеживать поведение приложений и расследовать инциденты безопасности. Помните, что структура и поля журналов Sysmon могут различаться в зависимости от версии Sysmon и настроек конфигурации.

Состояние службы Sysmon изменилось

Событие изменения состояния, обозначенное идентификатором 4, может указывать как на успешный запуск, так и на остановку службы Sysmon. Запуск службы означает, что служба Sysmon запущена, и теперь активность системы отслеживается и регистрируется. Остановка службы происходит, когда она останавливается вручную администратором или если возникает проблема с самой службой.

Загружен драйвер

После установки драйвер становится неотъемлемой частью ядра операционной системы, позволяя ему взаимодействовать с аппаратными устройствами и выполнять низкоуровневые задачи. Событие загрузки драйвера, обозначенное идентификатором 6, записывает подробную информацию о процедуре, отвечающей за загрузку драйвера, а также информацию о самом файле драйвера.

Создание и изменение файлов

Sysmon записывает события при каждом добавлении, изменении или удалении файлов из системы. Событие с идентификатором 11 содержит сведения о пути к файлу, операции, создавшей или изменившей файл, и хэше файла. Это облегчает обнаружение несанкционированных изменений файлов или подозрительного поведения.

Действия WMI

Архитектура управления WMI в Windows позволяет разработчикам и администраторам удаленно просматривать и изменять системные данные, параметры конфигурации и выполнять инструкции. Журналы Sysmon содержат записи с идентификаторами событий 19 (WmiEventFilter) и 20 (WmiEventConsumer), которые соответственно собирают информацию о фильтрации событий WMI и потреблении событий.

Понимание жизненного цикла управления журналами Sysmon

Процесс сбора и анализа журналов Sysmon включает несколько ключевых этапов.

• Развертывание. Разверните Sysmon в своих системах Windows, чтобы начать собирать информацию о событиях. Вы можете использовать автоматизированные методы развертывания, такие как групповая политика или сценарии для групповой установки, или загрузить программное обеспечение Sysmon с веб-сайта Microsoft и установить его на каждый компьютер отдельно.
• Конфигурация. Настройте Sysmon, указав желаемые события для отслеживания и место назначения для регистрации. Для настройки Sysmon можно использовать файл конфигурации, в котором указаны события, которые нужно отслеживать и регистрировать. Вы можете настроить файл конфигурации в соответствии со своими уникальными потребностями, активируя или удаляя определенные типы событий по мере необходимости.
• Сбор журналов. Журналы Sysmon обычно публикуются в формате XML в журнале событий Windows. Для сбора журналов Sysmon можно использовать различные методы, такие как пересылка событий Windows (WEF), решение для централизованного ведения журналов или решение SIEM. Используя эти методы, вы можете объединить журналы из нескольких систем в одном месте для дальнейшего анализа.
• Хранение журналов. Важно разработать соответствующую стратегию хранения и сохранения журналов, чтобы обеспечить достаточную емкость для сохранения журналов и их хранения в течение необходимого периода времени. В зависимости от потребностей организации и требований стандартов соответствия вы можете хранить журналы локально в каждой системе или централизованно в системе управления журналами.
• Анализ журналов. Анализируйте собранные журналы Sysmon, используя методы анализа вручную и автоматизированные инструменты. Журналы Sysmon содержат различные типы событий, включая создание процессов, сетевые подключения, создание или изменение файлов, изменение реестра и многое другое, что позволяет выявлять подозрительную активность, индикаторы компрометации и понимать поведение системы.
• Обнаружение угроз. Журналы Sysmon могут стать невероятно полезным инструментом для упреждающего поиска угроз. Создавайте запросы или правила в SIEM или системе управления журналами для поиска индикаторов необычной активности или распознанных шаблонов атак. С помощью этого метода вы можете обнаружить недостатки безопасности или возможные риски, которые не всегда очевидны.
• Реагирование на инциденты и криминалистическая экспертиза. Используйте проанализированные журналы Sysmon при реагировании на инциденты и проведении криминалистических расследований для реконструкции временных рамок, отслеживания действий злоумышленников и определения последствий инцидентов безопасности.

Как EventLog Analyzer помогает в мониторинге и проверке журналов Sysmon?

ManageEngine EventLog Analyzer - это решение для управления журналами и SIEM, которое расширяет возможности мониторинга журналов Sysmon, предоставляя возможности централизованного сбора, анализа и составления отчетов. Оно служит единой платформой для сбора, анализа, архивирования и составления отчетов по журналам Sysmon, создаваемым системами Windows.

EventLog Analyzer:

• Отслеживает различные процессы, предоставляя подробную информацию.
• Эффективно обнаруживает тенденции атак в журналах.
• Сохраняет данные журнала для криминалистического анализа в будущем.
• Обеспечивает комплексное понимание системных операций путем объединения журналов Sysmon из нескольких источников, включая файлы журналов событий и сборщики Sysmon.
• Активно отслеживает и фиксирует изменения разделов и значений реестра.

Чтобы узнать больше о том, почему EventLog Analyzer является хорошим выбором для анализа журналов Sysmon, нажмите здесь.

Что дальше?