Расширенный аудит Windows

Расширенный аудит Windows — это более детализированный и гибкий механизм мониторинга, который позволяет отслеживать события, недоступные в стандартном аудите. Он предоставляет больше информации о действиях пользователей и системы, что особенно полезно для обнаружения сложных атак, таких как lateral movement, использование эксплойтов или подозрительная активность в сети.

Наиболее интересные события расширенного аудита

Расширенный аудит позволяет отслеживать более специфические события, такие как доступ к определенным файлам, изменения в реестре или детализация процессов. А также отслеживать сетевые подключения и действия, связанные с сетевыми ресурсами.

  • Event ID: 5145 (Успешный доступ к сетевым ресурсам).

    Позволяет отслеживать успешный доступ пользователей к критически важным файлам по протоколу SMB. И логирует обращение к именованным каналам, что используется для методов горизонтального перемещения через удаленное создание сервисов или задач.

Правильная настройка этого события позволяет выявлять большинствопо популярных техник горизонтального перемещения.

  • Event ID: 5156 (фильтрация подключений Windows).

    Если злоумышленник попытается установить соединение с внешним сервером, это событие будет зарегистрировано. Это черезвыйчайно важно для поиска туннелей, соединений с управвляющими серверами и горизонтального перемещения

  • Event ID: 4657 (изменение значения реестра). Если вредоносное ПО изменит ключ автозагрузки, это событие будет зафиксировано. Вообще, реестр - место хранения всех настроек операционной системы, поэтому доступ к нему на чтение или запись открывает перед атакующим невероятные возможности.

Мы на практике никогда не использовали это событие, обычно предпочитая ему Sysmon.

  • Event ID: 4663 (доступ к объекту). Если злоумышленник попытается скопировать важный файл, это событие будет зарегистрировано в журнале безопасности. Также как и при попытке прочитать важный параметр реестра, где хранятся, например закешированные учетные данные.

4663 - Настройка SACL для объектов

Событие 4663 (доступ к объекту) не регистрируется по умолчанию.

Для отслеживания доступа к конкретным объектам (файлам, папкам, ключам реестра) необходимо настроить SACL (System Access Control List).

Настройка SACL для файлов и папок

  1. Щелкните правой кнопкой мыши на файле или папке и выберите Свойства.

  2. Перейдите на вкладку Безопасность и нажмите Дополнительно.

  3. В разделе Аудит нажмите Добавить.

  4. Выберите пользователя или группу, для которых нужно настроить аудит.

  5. Укажите типы доступа, которые нужно аудировать (например, чтение, запись, удаление).

  6. Выберите, аудировать ли успешные или неудачные попытки доступа.

Настройка SACL для реестра

  1. Откройте редактор реестра (regedit).

  2. Найдите ключ реестра, который нужно аудировать.

  3. Щелкните правой кнопкой мыши на ключе и выберите Разрешения.

  4. Перейдите на вкладку Аудит и нажмите Добавить.

  5. Выберите пользователя или группу и настройте типы доступа для аудита.

Не включайте расширенный аудит для всех объектов, так как это может привести к перегрузке системы и увеличению объема логов.

Настройте аудит только для критически важных объектов (например, конфиденциальные файлы, ключи реестра).

Это событие можно использовать, чтобы отслеживать чтение учетных данных, сохраненных в браузере. Для использования этого события лучше иметь заготовленные скрипты настройки SACL, чтобы быстро настраивать аудит на нужные файлы по всей инфраструктуре.

Это событие может генерировать очень большой поток EPS.

  • Event ID: 4662 (Операция с объектом службы каталогов).

    Это событие регистрируется при репликации доменов. Позволяет выявлять DCSync. Имеет смысл настраивать только на контроллерах домена.

Настройка расширенного аудита

Настройки расширенного аудита также можно произвести через локлаьные или групповые политики

  1. Откройте Редактор групповых политик

  2. Перейдите в раздел: Конфигурация компьютераПолитикиКонфигурация WindowsПараметры безопасностиРасширенные политики аудита.

  3. Настройка расширенных политик

    1. В разделе Расширенные политики аудита вы увидите более детализированные категории

    2. Для каждой категории можно настроить:

      • Аудит успешных событий (Success).

      • Аудит неудачных событий (Failure).

  4. Примените политику

Там также есть 10 категорий и 60 подкатегорий, для каждой из которых можно выставить Success или Failure. Или оба значения сразу.

Отталкивайтесь от того, какие события действительно нужны для выявления атак и ретроспективного анализа.

PreviousСтандартный аудит WindowsNextЛогирование PowerShell

Last updated

Was this helpful?