table des matières
Avant de faire l'analyse des journaux, nous devons d'abord avoir une idée claire pour ce travail: pour afficher les journaux de quels hôtes (objets de filtrage) -> où afficher (échantillonnage) -> comment afficher (recherche et analyse) -> faire Keep un bon enregistrement et conserver les captures d'écran clés -> signaler et gérer l'incident en boucle fermée.
1. Filtrer et analyser les actifs de l'hôte
Le principe du filtrage est le même que celui de la section «Examen préliminaire et vérification des actifs» de l'article précédent «Mesures de vérification des traces d'intrusion de l'hôte Windows». Il est impossible de vérifier et d'analyser tous les actifs de l'hôte dans tous les domaines du client en un court laps de temps. Nous avons le plus besoin de découvrir les points clés et difficiles et de se concentrer sur les actifs hôtes les plus importants qui sont problématiques ou sujets à problèmes.
2. Collectez des échantillons de journaux
Ajoutez d'abord quelques prérequis:
① La fonction d'audit du système serveur Windows doit être activée et la stratégie d'audit doit être configurée. En cas de défaillance du système ou d'incidents de sécurité, vous pouvez afficher les fichiers journaux du système, ce qui est utile pour le dépannage et le suivi des informations sur l'intrus.
②Les journaux doivent être sauvegardés régulièrement à l'avance, de préférence des sauvegardes complètes hors site. Souvent, l'intrus n'est pas un imbécile, et généralement «détruira les morts» ou plus sophistiqué «en supprimant les fleurs et les arbres» pour altérer le contenu du journal. (À ce stade, vous pouvez parler aux clients de l'importance des journaux et de la nécessité de la protection)
③Faites un bon travail de contrôle d'accès aux fichiers journaux, limitez les autorisations et maximisez la protection pour éviter le risque de suppression et de falsification des journaux.
Plus les conditions ci-dessus sont pleinement satisfaites, plus les résultats des analyses ultérieures seront scientifiques, authentiques et non répudiables.
La version du serveur hôte sélectionnée cette fois est Windows Server 2008 R2
Ouvrez le journal: Démarrer ----> Outils d'administration ----> Observateur d'événements
En règle générale, les trois types de journaux que nous vérifions principalement sont: les journaux d'application, les journaux de sécurité et les journaux système
Journal des applications:
Contient les événements enregistrés par les applications ou les programmes système, principalement les événements d'enregistrement liés au fonctionnement du programme, le chemin de stockage par défaut:% SystemRoot% \ System32 \ Winevt \ Logs \ Application.evtx. (En outre, je vérifie généralement au niveau de l'hôte lors du contrôle de sécurité. Il existe des éléments de contrôle spéciaux pour afficher le journal, il suffit de regarder le contenu ici)
Journal de sécurité: enregistrez les événements d'audit de sécurité du système, y compris divers types de journaux de connexion, Journal d'accès aux objets, journal de suivi des processus, utilisation des privilèges, gestion des comptes, changements de politique, événements système. Ce journal est généralement au centre de l'attention de l'ingénieur de sécurité. Chemin de stockage par défaut:% SystemRoot% \ System32 \ Winevt \ Logs \ Security.evtx Journal
système: enregistre les événements générés par les composants du système d'exploitation, notamment les pannes de pilote, de composants système et de logiciel d'application et les erreurs de perte de données. Le chemin de stockage par défaut:% SystemRoot% \ System32 \ Winevt \ Logs \ System.evtx Après avoir
compris ces informations, nous pouvons collecter les journaux dont nous avons besoin. La collecte des journaux présente également un avantage, qui équivaut à une autre sauvegarde, vous n'avez pas pour vous connecter à distance au serveur hôte du client en permanence. Après la collecte, notre prochaine tâche principale consiste à analyser le journal.
3. Analyse des journaux
À ce stade, nous devons également connaître l'ID d'événement le plus courant:
4624 connexion réussie
4625 échecs de connexion
4634/4647-Déconnexion réussie
4648-Connectez-vous avec des informations d'identification explicites (RunAs)
4672-Connexion utilisateur avec autorité de super utilisateur (administrateur)
4720-Création de compte
Si vous voulez en savoir plus, vous pouvez télécharger un ensemble complet d'identifiant d'événement Windows et d'explications sur Internet.
Le contenu clé du journal est le suivant:
① Vérifiez les traces de craquage par force brute dans le journal de connexion;
②Vérifiez les traces nouvelles et modifiées du compte dans le journal de gestion du compte;
③Vérifiez les traces de connexion dans le journal de connexion du bureau à distance.
3.1, journal secret du compte de craquage par force brute
Cas 1: incidents normaux. Les
attaquants utilisent le craquage par force brute pour envahir le système. Qu'ils réussissent ou non, ils laisseront des traces de l'intrusion dans le journal. Par conséquent, les événements avec les ID d'événement 4624 et 4625 sont les premiers Attention. Il faut faire attention à SubjectUserNameIpAddress dans le journal.
Comme le montre la figure: Le nombre total d'événements de connexion est de 11968. Ce nombre de fois est tellement élevé parce que le filtrage ci-dessus n'a pas sélectionné un jour et une période de temps spécifiques. S'il s'agit d'un grand nombre d'échecs de connexion, cela est absolument suspect, mais la situation réelle est un grand nombre de succès, et l'adresse IP est l'adresse IP de confiance de l'intranet, et les informations de connexion s'y trouvent. personne interne. L'heure de connexion est également une période normale. Trouvez la personne à vérifier. Fondamentalement, cela peut être considéré comme un événement normal.
Cas 2: événement d'intrusion
Trois journaux consécutifs ont été trouvés. De l'échec de connexion à la réussite, WorkstationName provenait d'un hôte nommé kali et l'adresse IP de kali a finalement été enregistrée comme 192.168.74.129. Dans ce processus, on peut juger que l'attaquant a réussi à déchiffrer le mot de passe de l'administrateur par force brute via l'hôte de 192.168.74.129, et voici la trace laissée par la force brute.
3.2. Journal de gestion des comptes
ID d'événement liés à la création de compte dans les journaux Windows: 4720, 4722, 4724, 4738. Après qu'un attaquant ait compromis un hôte Windows, il peut créer un compte de porte dérobée et masquer le compte.
Cas 1: situation normale. On
constate qu'il n'y a pas eu de nouvel événement de compte au cours des 7 derniers jours, ce qui est relativement sûr.
Cas 2: Ajouter un compte aaaaa $ backdoor Il a été
découvert que l'attaquant avait créé un compte backdoor. Sur la base de ce point dans le temps, il peut être déterminé qu'une certaine méthode a été utilisée ou qu'une vulnérabilité a été utilisée pour obtenir des autorisations de serveur, et d'autres dispositifs de sécurité peuvent être recherchés plus avant sur d'autres dispositifs de sécurité pour déterminer la méthode d'attaque contre l'alarme d'attaque. événement contre le serveur compromis avant ce point dans le temps.
3.3, journal de connexion au bureau à distance
Le journal de sécurité ci-dessus est susceptible d'être écrasé. Afin de ne pas manquer autant que possible les traces d'intrusion, vous pouvez en outre consulter le journal de connexion du poste de travail distant. Une fois que l'attaquant a établi le compte de porte dérobée, il se connectera à l'hôte compromis via le bureau distant et le comportement de connexion à ce moment sera enregistré dans le journal du bureau distant.
Journal de connexion à distance (journal des applications et des services-> Microsoft-> Windows -> - TerminalServices-> RemoteConnectionManager-> Operational), ID d'événement important et signification:
1149: L'authentification de l'utilisateur a réussi
21: Service Bureau à distance: connexion à la session réussie
24: Services Bureau à distance: la session a été déconnectée
25: Service Bureau à distance: session reconnectée avec succès
Par conséquent, nous pouvons regarder l'ID d'événement de 1149 dans le journal de l'application:
comme le montre la figure, aucune connexion à distance n'est trouvée ici, et la situation est normale.
Après avoir terminé les actions d'analyse ci-dessus, vous pouvez essentiellement trouver beaucoup de traces d'intrusion. Les enregistrements de capture d'écran suivants, la rédaction des rapports d'analyse, les rapports, etc. ne seront pas répétés cette fois.
Je recommande un autre outil d'analyse des journaux Windows facile à utiliser: LogParser Lizard. Sa caractéristique est qu'il est relativement facile à utiliser et qu'il n'a pas besoin de mémoriser des commandes encombrantes. Il vous suffit de définir des paramètres et d'écrire des instructions SQL de base pour obtenir les résultats intuitivement. De nombreux tutoriels en ligne. Lien de téléchargement: http://www.lizard-labs.com/log_parser_lizard.aspx (Pourquoi ne l'avez-vous pas proposé plus tôt, car vous ne comprenez pas les principes et les idées d'analyse, il est inutile de donner les outils)
Réimprimé: https://www.freebuf.com/articles/neopoints/258131.html