📘
Blue Team Cookbook
russian
russian
  • Blue Team Cookbook
  • SOC теория
    • Матрица MITRE ATT&CK, Cyber Kill Chain, UKC
    • Логи: что собирать и откуда, чтобы эффективно обнаруживать атаки
      • Что подключать полезно, а что не очень
      • Приоритезация для подключения в SIEM
    • Разработка правил обнаружения атак
      • Инструменты создания правил
      • 10 правил SIEM, с которых надо начать
  • Windows
    • Средства мониторинга Windows
      • Стандартный аудит Windows
      • Расширенный аудит Windows
      • Логирование PowerShell
      • Логирование командной строки
      • Sysmon
    • [Cheat Sheet] ТОП-10 событий для мониторинга
      • Event ID 4697, 7045. Службы Windows
      • Event ID 4624. Парные сессии, уровень целостности и UAC
    • Процесс LSASS и его секреты
    • NTLM-хеши
    • Реестр Windows: ключ к системе
      • Что может сделать атакующий с доступом в реестр на запись
    • LPE и семья картошек
  • Active Directory
    • Служба каталогов
      • [Cheat Sheet] Интересные атрибуты LDAP
    • Kerberos
    • Захват домена: NTDS.dit, DCSync, DCShadow
  • UNIX
    • Аудит Unix
      • Auditd
      • Системные вызовы Unix
  • WEB
    • HTTP
      • Как работает авторизация в WEB-приложениях
    • [Cheat Sheet] Заголовки для защиты сайта
  • Other
    • Cheat Sheets
    • Полезные ссылки и ресурсы
Powered by GitBook
On this page
  • Наиболее интересные события расширенного аудита
  • Настройка расширенного аудита
Edit on GitHub
  1. Windows
  2. Средства мониторинга Windows

Расширенный аудит Windows

Расширенный аудит Windows — это более детализированный и гибкий механизм мониторинга, который позволяет отслеживать события, недоступные в стандартном аудите. Он предоставляет больше информации о действиях пользователей и системы, что особенно полезно для обнаружения сложных атак, таких как lateral movement, использование эксплойтов или подозрительная активность в сети.

Наиболее интересные события расширенного аудита

Расширенный аудит позволяет отслеживать более специфические события, такие как доступ к определенным файлам, изменения в реестре или детализация процессов. А также отслеживать сетевые подключения и действия, связанные с сетевыми ресурсами.

  • Event ID: 5145 (Успешный доступ к сетевым ресурсам).

    Позволяет отслеживать успешный доступ пользователей к критически важным файлам по протоколу SMB. И логирует обращение к именованным каналам, что используется для методов горизонтального перемещения через удаленное создание сервисов или задач.

Правильная настройка этого события позволяет выявлять большинствопо популярных техник горизонтального перемещения.

  • Event ID: 5156 (фильтрация подключений Windows).

    Если злоумышленник попытается установить соединение с внешним сервером, это событие будет зарегистрировано. Это черезвыйчайно важно для поиска туннелей, соединений с управвляющими серверами и горизонтального перемещения

  • Event ID: 4657 (изменение значения реестра). Если вредоносное ПО изменит ключ автозагрузки, это событие будет зафиксировано. Вообще, реестр - место хранения всех настроек операционной системы, поэтому доступ к нему на чтение или запись открывает перед атакующим невероятные возможности.

Мы на практике никогда не использовали это событие, обычно предпочитая ему Sysmon.

  • Event ID: 4663 (доступ к объекту). Если злоумышленник попытается скопировать важный файл, это событие будет зарегистрировано в журнале безопасности. Также как и при попытке прочитать важный параметр реестра, где хранятся, например закешированные учетные данные.

4663 - Настройка SACL для объектов

Событие 4663 (доступ к объекту) не регистрируется по умолчанию.

Для отслеживания доступа к конкретным объектам (файлам, папкам, ключам реестра) необходимо настроить SACL (System Access Control List).

Настройка SACL для файлов и папок

  1. Щелкните правой кнопкой мыши на файле или папке и выберите Свойства.

  2. Перейдите на вкладку Безопасность и нажмите Дополнительно.

  3. В разделе Аудит нажмите Добавить.

  4. Выберите пользователя или группу, для которых нужно настроить аудит.

  5. Укажите типы доступа, которые нужно аудировать (например, чтение, запись, удаление).

  6. Выберите, аудировать ли успешные или неудачные попытки доступа.

Настройка SACL для реестра

  1. Откройте редактор реестра (regedit).

  2. Найдите ключ реестра, который нужно аудировать.

  3. Щелкните правой кнопкой мыши на ключе и выберите Разрешения.

  4. Перейдите на вкладку Аудит и нажмите Добавить.

  5. Выберите пользователя или группу и настройте типы доступа для аудита.

Не включайте расширенный аудит для всех объектов, так как это может привести к перегрузке системы и увеличению объема логов.

Настройте аудит только для критически важных объектов (например, конфиденциальные файлы, ключи реестра).

Это событие можно использовать, чтобы отслеживать чтение учетных данных, сохраненных в браузере. Для использования этого события лучше иметь заготовленные скрипты настройки SACL, чтобы быстро настраивать аудит на нужные файлы по всей инфраструктуре.

Это событие может генерировать очень большой поток EPS.

  • Event ID: 4662 (Операция с объектом службы каталогов).

    Это событие регистрируется при репликации доменов. Позволяет выявлять DCSync. Имеет смысл настраивать только на контроллерах домена.

Настройка расширенного аудита

Настройки расширенного аудита также можно произвести через локлаьные или групповые политики

  1. Откройте Редактор групповых политик

  2. Перейдите в раздел: Конфигурация компьютера → Политики → Конфигурация Windows → Параметры безопасности → Расширенные политики аудита.

  3. Настройка расширенных политик

    1. В разделе Расширенные политики аудита вы увидите более детализированные категории

    2. Для каждой категории можно настроить:

      • Аудит успешных событий (Success).

      • Аудит неудачных событий (Failure).

  4. Примените политику

Там также есть 10 категорий и 60 подкатегорий, для каждой из которых можно выставить Success или Failure. Или оба значения сразу.

Отталкивайтесь от того, какие события действительно нужны для выявления атак и ретроспективного анализа.

PreviousСтандартный аудит WindowsNextЛогирование PowerShell

Last updated 2 months ago