📘
Blue Team Cookbook
russian
russian
  • Blue Team Cookbook
  • SOC теория
    • Матрица MITRE ATT&CK, Cyber Kill Chain, UKC
    • Логи: что собирать и откуда, чтобы эффективно обнаруживать атаки
      • Что подключать полезно, а что не очень
      • Приоритезация для подключения в SIEM
    • Разработка правил обнаружения атак
      • Инструменты создания правил
      • 10 правил SIEM, с которых надо начать
  • Windows
    • Средства мониторинга Windows
      • Стандартный аудит Windows
      • Расширенный аудит Windows
      • Логирование PowerShell
      • Логирование командной строки
      • Sysmon
    • [Cheat Sheet] ТОП-10 событий для мониторинга
      • Event ID 4697, 7045. Службы Windows
      • Event ID 4624. Парные сессии, уровень целостности и UAC
    • Процесс LSASS и его секреты
    • NTLM-хеши
    • Реестр Windows: ключ к системе
      • Что может сделать атакующий с доступом в реестр на запись
    • LPE и семья картошек
  • Active Directory
    • Служба каталогов
      • [Cheat Sheet] Интересные атрибуты LDAP
    • Kerberos
    • Захват домена: NTDS.dit, DCSync, DCShadow
  • UNIX
    • Аудит Unix
      • Auditd
      • Системные вызовы Unix
  • WEB
    • HTTP
      • Как работает авторизация в WEB-приложениях
    • [Cheat Sheet] Заголовки для защиты сайта
  • Other
    • Cheat Sheets
    • Полезные ссылки и ресурсы
Powered by GitBook
On this page
Edit on GitHub
  1. Windows

[Cheat Sheet] ТОП-10 событий для мониторинга

Основные события, которые представляют наибольший интерес для аналитика SOC

PreviousSysmonNextEvent ID 4697, 7045. Службы Windows

Last updated 1 month ago

Журнал и EventID

Название события

Описание и полезность

Security 4688 Sysmon 1

Создание нового процесса

Security 4624

Успешный вход в систему

Позволяет отслеживать успешные аутентификации, в том числе аномальные, например с необычных узлов или необычным способом.

Security 4625

Неудачная попытка входа в систему

Позволяет выявлять атаки методом перебора: BruteForce и Password Spraying. Следует проверять EventID 4624 для выявления успешных попыток после множества неудачных 4625.

Security 5140, 5145

Доступ к сетевому ресурсу

Показывает, кто и к каким сетевым ресурсам обращался. Указывает на доступ к объектам в сети (файлам, папкам) или именованным каналам. Позволяет обнаруживать горизонтальное перемещение через RPC.

Security 5156 Sysmon 3

Фильтрация сетевых подключений

Показывает, какие сетевые подключения были разрешены или установлены. Можно проверять на необычные IP-адреса или порты.

Security 4103/4014

Выполнение PowerShell-скриптов и команд

Показывает выполнение команд или скриптов в PowerShell. Позволяет проанализировать полное тело скрипта и проверять на наличие вредоносных команд.

Security 4697, Systen 7045

Установка службы

Показывает установку новой службы или изменение конфигурации существующей. Может применяться для закрепления или повышения привилегий.

Security 4698

Создание планировщика задач

Показывает создание новой задачи в планировщике.

Security 4720

Создание учетной записи пользователя

Показывает создание новой учетной записи локальной или доменной. После имеет смыл проверить добавление в группы или изменение прав

Sysmon 12,13

Создание и изменение параметров реестра

Мониторинг изменения в реестре, позволяет обнаружить закрепление или измнение конфигураций (отключение систем защиты)

Sysmon 11

Создание файлов

Позволяет обнаруживать создание Web-шеллов или вредносных исполняемых файлов, скриптов

Windows Ultimate Security содержит примеры и описание всех событий безопасности:

Термины:

  • LOLBAS: Living Off the Land Binaries and Scripts (например, certutil.exe, bitsadmin - использование утилит ОС для выполнение вредоносных действий).

  • RPC: Remote Procedure Call (удаленный вызов процедур - обычно применяется для горизонтального перемещения).

  • C2: Command and Control (управляющий сервер, посылает команды вредоносному ПО, которые необходимо исполнить на зараженном узле).

  • SMB: Server Message Block (протокол доступа к общим сетевым ресурсам и не только).

Позволяет отслеживать запуск новых процессов. Позволяет выявлять наличие подозрительных или неизвестных исполняемых файлов, подозрительные строки запуска, использование .

LolBas
LogoWindows Security Log Encyclopedia