SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Три слона, на которых держится логирование в Windows

Три слона, на которых держится логирование в Windows
14.11.2024

Анастасия Кузнецова, Security Vision


Данное исследование было проведено в рамках проработки агентской истории для целой группы продуктов.


Продолжаем наш цикл статей о типах и методах работы сборщиков данных с конечных точек, или, как принято их называть – агентов. В первой статье мы познакомились с этой сущностью и изучили основные нюансы сбора данных с их помощью. Так как мы в рамках разработки своих продуктов занимаемся и лог-менеджментом, и сбором событий, то хочется поделиться продолжением нашей обширной аналитики в quickstart формате. Поэтому в этом выпуске подробнее разберем функционал и используемые инструменты источников на ОС Windows.


Начнем с того, что самому агенту по большей части все равно, посредством какой технологии производится сбор данных. Однако, при внедрении агентов в собственную инфраструктуру в рамках политики безопасности всегда есть какие-либо ограничения на использование тех или иных инструментов, портов и прочего. В связи с этим и рассмотрим возможные источники передачи данных для агентов.


Если мы хотим собирать данные с конечных точек на ОС Windows, то существует три основных инструмента. Первым является подсистема аудита Windows, хранящая события в формате EventLog. Это средство журналирования событий Windows, в котором регистрируются сообщения операционной системы. События делятся на несколько групп – журналов:

 

рис 1.jpg


К тому же, некоторые приложения пишут свои собственные события в отдельную папку, к примеру:

 

рис 2.jpg


В этой папке могут оказаться логи как процессора, так и ПО (звуковых драйверов или того же Kaspersky).


Также существуют отдельные журналы для:

  • DNS Manager

  • Failover Cluster Manager

  • IIS Access

  • Task Scheduler History

  • Windows Component Service

 

События системных журналов в формате EventLog уже имеют некоторую начальную нормализацию и содержат следующие поля:

  • Дата в формате: месяц, день, время и год.

  • Категория события как целое число

  • Уровень события

  • ID безопасности Windows

  • Источник Windows.

  • Ключевые слова журнала событий Windows.

  • Идентификатор событий Windows.

  • Текст сообщения


Для журналов событий существует возможность изменять права доступа на чтение, запись и очистку. В этом смысле особняком стоит журнал безопасности (Security) — право записи в него зарезервировано исключительно для локального органа безопасности Windows (LSASS). Также есть возможность добавлять типы событий в журнал Безопасности и назначать источник из зарегистрированных приложений.


Для первичной аналитики, а тем более расследования инцидентов, информации только с EventLog не всегда бывает достаточно. В связи с этим активно используется другая утилита с расширенными функциями аудита событий – Sysmon, входящий в пакет Sysinternals. По сути, она является системной службой Windows, которая отдает подробные данные о приходящих событиях, сетевых подключениях и драйверах, изменениях файлов и многом другом. Я нашла вот такую карту интересных данных, которые можно собирать с помощью Sysmon (для подробностей рекомендую заглянуть сюда.

 

рис 3 2.jpg


Для обеспечения дополнительного уровня безопасности Sysmon обычно устанавливается вместе с другими решениями для защиты конечных точек, такими как традиционный антивирус, система управления событиями (SIEM) или средство обнаружения и реагирования на конечных точках (EDR). Драйвер этой службы позволяет осуществлять сбор сразу при включении устройства, т.е. до запуска основных компонентов компьютера.


Вдобавок, данный инструмент довольно хорошо описан и популярен, а значит, на просторах интернета существует множество готовых конфигураций под различные требования аудита событий.

Единственный существенный недостаток Sysmon — слабая совместимость с классом ОС Linux. Для таких ОС регистрируется только некоторая часть событий, регистрируемых в Windows системах (Event ID 1, 3, 4, 5, 9, 11, 16, 23).

Искать логи в интерфейсе «Просмотра событий» следует в журнале Applications and Services Logs\Microsoft\Windows\Sysmon. Вот пример события:

 

рис 4.png


И наконец, замыкает тройку первостепенных технологий сбора событий средство Event Tracing for Windows (ETW) – трассировка событий Windows. Технология предоставляется в самой ОС по умолчанию и осуществляется на уровне ядра. ETW фиксирует журналы событий, создаваемых драйверами ядра и пользовательскими приложениями. Тот же Sysmon формирует часть своих событий на его основе. Для понимания сути ETW нам понадобится использовать несколько понятий:


   ·   Провайдеры (providers, поставщики событий) — это приложения (например, DLL), у которых есть функции регистрации событий. Именно провайдер отслеживает состояния приложений (или системы) и отправляет события в сессию.


   ·   Сессии (sessions, сеанс трассировки, логгер) — сущности, которые собирают события от провайдеров и передают их потребителям. Одна сессия может потреблять события от одного или нескольких провайдеров. Также сессии сортируют события между собой, чтобы передавать их нужным потребителям.


   ·   Контроллеры (controllers) — это приложения, которые управляют сессиями. Могут создавать или удалять сессии, а также изменять их параметры.


   ·   Потребители событий (consumers) — приложения, которые могут получать и как‑то обрабатывать события от одной или нескольких сессий, а также из файлов.


Провайдеры формируют и передают события о состояниях, происходящих внутри процессов или ядра, а потребители используют эти события для собственных целей (например, для анализа производительности). Схему процесса передачи данных вендор представляет следующим образом:

 

рис 5.png


ETW в своей базовой конфигурации является простым механизмом межпроцессного взаимодействия и функционирует только локально, и в подавляющем большинстве исследований используется как «оборонительный» инструмент.


События от этого источника можно обнаружить в дереве Applications and Services Logs и Windows Logs\Security.


Если вы хотите углубиться в логику работы и базовое администрирование ETW, рекомендую изучить следующую статью, где понятным языком описаны внутренние процессы службы трассировки.


Итак, мы разобрались, откуда и с помощью чего мы можем собирать данные, но какими должны быть сами логи? Ведь, как правильно сказал комментатор под прошлой статьей известно, для корректной работы инфраструктуры и последующего анализа событий недостаточно просто собирать «все, что вижу». Так велик риск засорить процессинг устройств, и при этом сделать оперативное реагирование на события невозможным.  


Так что предлагаю некоторые критерии оценки качества передаваемых данных:

  • События должны быть достоверными, то есть нужно быть уверенными, что записанные события действительно случились и что атрибуты событий являются верными;

  • Лог событий должен быть завершенным, то есть предоставлять полную картину действий;

  • У любых записываемых событий должна быть четко определенная семантика, то есть разнотипные события должны различаться.


Данная статья носит исключительно ознакомительный характер и ни в коем случае не говорит о том, какие именно средства сбора событий должны использовать именно вы. Данная статья скорее будет полезна тем, кто только погружается в аудит событий конечных устройств Windows – друзья, теперь вы знаете, куда копать дальше. А в следующей статье расскажем о журналировании в ОС класса Linux.

 

 

Практика ИБ Управление ИБ SIEM

Рекомендуем

Облачные версии решений по информационной безопасности: плюсы и минусы
Облачные версии решений по информационной безопасности: плюсы и минусы
Как устроены вредоносные программы
Как устроены вредоносные программы
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Управление ИТ-активами
Управление ИТ-активами
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Интернет вещей и его применение
Интернет вещей и его применение
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Принципы информационной безопасности
Принципы информационной безопасности

Рекомендуем

Облачные версии решений по информационной безопасности: плюсы и минусы
Облачные версии решений по информационной безопасности: плюсы и минусы
Как устроены вредоносные программы
Как устроены вредоносные программы
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Управление ИТ-активами
Управление ИТ-активами
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Интернет вещей и его применение
Интернет вещей и его применение
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Принципы информационной безопасности
Принципы информационной безопасности

Похожие статьи

Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Возможности новой версии продукта Security Vision UEBA
Возможности новой версии продукта Security Vision UEBA
Пентесты
Пентесты
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности

Похожие статьи

Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Возможности новой версии продукта Security Vision UEBA
Возможности новой версии продукта Security Vision UEBA
Пентесты
Пентесты
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности