[Cheat Sheet] ТОП-10 событий для мониторинга

Основные события, которые представляют наибольший интерес для аналитика SOC

Журнал и EventID

Название события

Описание и полезность

Security 4688 Sysmon 1

Создание нового процесса

Регистрирует запуск новых процессов. Позволяет выявлять наличие подозрительных или неизвестных исполняемых файлов, подозрительные строки запуска, использование LolBas. Sysmon позволяет анализировать хеши и метаинформацию исполняемых файлов.

Security 4624

Успешный вход в систему

Позволяет отслеживать успешные аутентификации, в том числе аномальные, например неинтерактивные, с необычных узлов или необычным способом.

Security 4625

Неудачная попытка входа в систему

Позволяет выявлять атаки методом перебора: BruteForce и Password Spraying. Следует проверять EventID 4624 для выявления успешных попыток после множества неудачных 4625.

Security 5140, 5145

Доступ к сетевому ресурсу

Показывает, кто и к каким сетевым ресурсам обращался. Указывает на доступ к объектам в сети (файлам, папкам) или именованным каналам. Позволяет обнаруживать горизонтальное перемещение через RPC.

Security 5156 Sysmon 3

Фильтрация сетевых подключений

Показывает, какие сетевые подключения были разрешены или установлены. Само по сете для обнаружения подозрительных IP или портов может быть не очень полезно. Чаще используется в связке в другими событиями, для выявления более сложных сценариев, эксплуатаци уязвимостей, обратный шеллов...

Security 4103/4014

Выполнение PowerShell-скриптов и команд

Показывает выполнение команд или скриптов в PowerShell. Позволяет проанализировать полное тело скрипта и проверять на наличие вредоносных команд или командлетов.

Security 4697, Systen 7045

Установка службы

Показывает установку новой службы или изменение конфигурации существующей. Службы используются атакующими для закрепления или повышения привилегий.

Security 4698

Создание планировщика задач

Показывает создание новой задачи в планировщике. Аналогично, используются для закрепления или повышения привилегий. Как и службы могут использоваться при горизонтальном перемещении. [TODO: ссылка на метриал по impacket]

Security 4720

Создание учетной записи пользователя

Показывает создание новой учетной записи локальной или доменной. После имеет смыл проверить добавление в группы или изменение прав.

Sysmon EID 12,13

Создание и изменение параметров реестра

Мониторинг изменения в реестре, позволяет обнаружить закрепление или измнение конфигураций.

Sysmon EID 11

Создание файлов

Позволяет обнаруживать создание Web-шеллов или вредносных исполняемых файлов, скриптов

Sysmon EID 17, 18

Создание и подключение к именованным каналам

Позволяет обнаруживать различные способы повышения привилегий: Named Pipe Impersonation или Potatoe Exploits.

Windows Ultimate Security содержит примеры и описание всех событий безопасности:

LogoWindows Security Log Encyclopedia

Термины:

  • LOLBAS: Living Off the Land Binaries and Scripts (например, certutil.exe, bitsadmin - использование утилит ОС для выполнение вредоносных действий).

  • RPC: Remote Procedure Call (удаленный вызов процедур - обычно применяется для горизонтального перемещения).

  • C2: Command and Control (управляющий сервер, посылает команды вредоносному ПО, которые необходимо исполнить на зараженном узле).

  • SMB: Server Message Block (протокол доступа к общим сетевым ресурсам и не только).

PreviousSysmonNextEvent ID 4697, 7045. Службы Windows

Last updated

Was this helpful?