📘
Blue Team Cookbook
russian
russian
  • Blue Team Cookbook
  • SOC теория
    • Матрица MITRE ATT&CK, Cyber Kill Chain, UKC
    • Логи: что собирать и откуда, чтобы эффективно обнаруживать атаки
      • Что подключать полезно, а что не очень
      • Приоритезация для подключения в SIEM
    • Разработка правил обнаружения атак
      • Инструменты создания правил
      • 10 правил SIEM, с которых надо начать
  • Windows
    • Средства мониторинга Windows
      • Стандартный аудит Windows
      • Расширенный аудит Windows
      • Логирование PowerShell
      • Логирование командной строки
      • Sysmon
    • [Cheat Sheet] ТОП-10 событий для мониторинга
      • Event ID 4697, 7045. Службы Windows
      • Event ID 4624. Парные сессии, уровень целостности и UAC
    • Процесс LSASS и его секреты
    • NTLM-хеши
    • Реестр Windows: ключ к системе
      • Что может сделать атакующий с доступом в реестр на запись
    • LPE и семья картошек
  • Active Directory
    • Служба каталогов
      • [Cheat Sheet] Интересные атрибуты LDAP
    • Kerberos
    • Захват домена: NTDS.dit, DCSync, DCShadow
  • UNIX
    • Аудит Unix
      • Auditd
      • Системные вызовы Unix
  • WEB
    • HTTP
      • Как работает авторизация в WEB-приложениях
    • [Cheat Sheet] Заголовки для защиты сайта
  • Other
    • Cheat Sheets
    • Полезные ссылки и ресурсы
Powered by GitBook
On this page
  • Высокий приоритет
  • Средний приоритет
  • Низкий приоритет
  • Что еще надо учитывать
Edit on GitHub
  1. SOC теория
  2. Логи: что собирать и откуда, чтобы эффективно обнаруживать атаки

Приоритезация для подключения в SIEM

Когда у вас есть 10 000 узлов, но ресурсы ограничены, важно подключать их не случайно, а с учетом их критичности и рисков. От чего тут можно отталкиваться:

  1. Критичность узла Насколько важна система для бизнеса. Какие привилегии получат атакующие, захватив эту систему.

  2. Уровень риска Насколько вероятна атака на узел.

  3. Регуляторные требования Их игнорировать нельзя, несмотря на то, что хакеры ничего не знают о них.

Это общие рекомендации, которые не учитывают особенностей конкретной инфраструктуры и бизнеса.

Высокий приоритет

  • Контроллеры домена (Active Directory) Active Directory (AD) является центральным элементом инфраструктуры. Если злоумышленник скомпрометирует AD, он получит контроль над всей сетью. AD имеет широкую сетевую доступность: к нему можно обратиться из практически любой точки сети. Компрометация AD предоставляет злоумышленнику почти полную свободу действий. Например, с помощью групповых политик (GPO) можно скомпрометировать любую доменную машину, даже без прямого сетевого доступа. AD содержит все учетные записи, включая привилегированные (например, Domain Admins), что делает его крайне привлекательной целью для атак.

  • Управление инфраструктурой (KSC, SCCM, Ansible, Zabbix) Эти системы имеют доступ ко всем узлам сети. Если злоумышленник скомпрометирует их, он сможет установить вредоносное ПО на все устройства или получить доступ к любому узлу. Даже если прямых сетевых доступов нет, такие системы могут позволить злоумышленнику выполнить код на любой машине через агенты, включая те, которые не входят в домен. Системы виртуализации (например, VMware, Hyper-V) также относятся к этой категории, так как они позволяют управлять большим количеством серверов.

  • АРМ администраторов Администраторы имеют широкий доступ ко всем критичным системам и обладают высокими привилегиями.

  • VPN (приложение) VPN — это точка входа в сеть для удаленных сотрудников. Если злоумышленник получит возможность подключиться по VPN, он получит доступ к внутренним ресурсам. Особенно опасно, если для доступа к VPN не используется второй фактор аутентификации.

  • DMZ DMZ — это зона с публичным доступом, которая часто подвергается атакам. Поскольку DMZ доступна из интернета, она становится первой целью для злоумышленников. В первую очередь важно собирать логи операционной системы, так как только получив возможность выполнения кода, злоумышленник может продвигаться дальше внутрь сети. Для популярных приложений с известными уязвимостями рекомендуется собирать логи приложений и защищать их с помощью Web Application Firewall (WAF).

Если из внешнего приложения можно получить доступ к персональным данным (ПДн), что грозит крупными штрафами, такое приложение становится даже более важным, чем контроллер домена.

Средний приоритет

  • Терминальные серверы Терминальные серверы часто используются для доступа к критичным системам. Злоумышленника лучше остановить до того, как он получит доступ к критичным ресурсам через терминальный сервер.

  • АРМ пользователей Пользователи являются основным вектором для фишинга.

    Многие недооценивают важность мониторинга рабочих станций пользователей, но это ошибка. До внутреннего сервера злоумышленнику нужно пройти несколько этапов, а на рабочую станцию пользователя он может попасть в сеть сразу после успешной фишинговой атаки. То есть пользователи ближе всего к периметру.

  • Почта Если в почтовой системе нет уязвимостей, злоумышленник не сможет получить доступ к внутренней сети напрямую. Однако почта содержит много информации о пользователях и организации. Если злоумышленник получит доступ к почтовому ящику, он может найти конфиденциальную информацию, которая поможет в дальнейшей атаке.

  • Серверы с конфиденциальными данными Утечка данных может нанести огромный ущерб бизнесу и репутации.

    Однако эти серверы обычно недоступны напрямую из интернета, поэтому злоумышленнику нужно пройти несколько этапов, чтобы до них добраться.

  • Приложения, обрабатывающие критичную информацию CRM, 1C и другие системы, которые обрабатывают критичную для бизнеса информацию.

  • Другие серверы Эти серверы менее критичны. Могут атаковаться атакующими как низковисящие фрукты. В основном атакующих на таких серверах интересуют учетные данные Могут быть использованы для дальнейшего перемещение по сети (lateral movement).

Низкий приоритет

  • Другие приложения Вспомогательные IT-системы, такие как Confluence, CMDB и другие.

    Эти системы могут использоваться злоумышленниками для сбора информации, но сами по себе не представляют высокой ценности для атак.

    Популярные приложения с известными уязвимостями представляют больший риск, чем самописные или малораспространенные решения.

  • Все остальное Сетевые устройства, такие как коммутаторы и маршрутизаторы.

Что еще надо учитывать

Кроме особенностей бизнеса надо учитывать:

  • Наличие легаси систем - устаревших ОС и приложений. которые не поддерживаются вендором и имеют известные уязвимости. Их с большей вероятностью будут атаковать.

  • Наличие известных уязвимостей. Типо как было с AD CS - когда в один день это стал самый популярный вектор компрометации домена, все сразу осознали важность заведения логов приложения AC DS.

  • Возможность обнаружить атаку. Нет смысл заводить приложение, логи которого неинформативны или два которого неясны вектора атак.

PreviousЧто подключать полезно, а что не оченьNextРазработка правил обнаружения атак

Last updated 2 months ago