Wazuh 및 sysmon을 사용하여 Windows에서 프로그램 실행을 모니터링하는 방법.
4731 단어 windowswazuhopensourcesecurity
저는 이 글을 작성하여 이 사용자에게 제안한 솔루션을 서면으로 남기고 나중에 누군가가 필요로 할 때 사용할 수 있도록 공유하고 있습니다.
시즈몬
제 제안은 간단했습니다. Windows 시스템 서비스 및 장치 드라이버인 Sysmon을 사용하십시오. 이 드라이버는 일단 시스템에 설치되면 시스템 재부팅 후에도 계속 상주하여 시스템 활동을 모니터링하고 Windows 이벤트 로그에 기록합니다. 무엇보다도 프로세스 생성에 대한 자세한 정보를 제공합니다.
그러나 Sysmon은 어떻게 통합됩니까Wazuh?
좋아요, Wazuh 블로그에 Sysmon과 설치 및 Wazuh와 통합하는 방법에 대해 이야기하는 an interesting post이 있지만 구체적인 프로그램의 실행이 실현되는 특정 사례를 설명했습니다.
시스템의 모든 프로그램 실행을 추적하고 싶기 때문에(물론 출발점으로 데이터를 어떤 식으로든 필터링할 수 있으며 모든 단일 프로그램 실행에 대해 경고를 생성하지는 않습니다!) 다른 Sysmon이 필요합니다. 구성
그래서 우리는 무엇을 해야 합니까?
Microsoft documentation에 설명된 대로 Sysmon을 설치하고 필요에 따라 구성합니다. 잘 문서화되고 GitHub에서 사용할 수 있는 기본this Sysmon configuration으로 사용하는 것이 좋습니다. 추적하려는 ID 1(프로세스 생성)의 Sysmon 이벤트에 대한 몇 가지 예외가 있습니다.
시스템에서 Sysmon을 활성화한 후 프로그램 실행을 위해 이벤트 뷰어에서 이벤트 수신을 시작합니다(이미지에 표시된 것처럼 Sysmon 폴더에서).
이제 이를 Wazuh Windows Agent 구성( ossec.conf )에 포함하여 Sysmon 로그를 분석하도록 해야 합니다.
Microsoft-Windows-Sysmon/Operational eventchannel
그리고 경고를 생성하려면 관리자 사용자 정의 규칙( /var/ossec/etc/local_rules.xml )에 추가하십시오.
sysmon_event1 Process creation detected: $(win.eventdata.description) by $(win.eventdata.user)
당연히 이것은 시스템에서 생성된 모든 단일 프로세스에 대한 경고를 생성합니다(Sysmon 구성에서 필터링한 프로세스 제외). 여기에서 내 조언은 모든 명령 실행에 대해 수준 3의 경고를 받고(아마도 우리에게 중요하지 않은 프로그램을 Sysmon으로 필터링할 수 있음) 더 특이한 프로그램에 대해 더 심각한 수준의 하위 경고를 받는 것입니다.
예를 들어:
sysmon_event1 mimikatz.exe Malicious program process creation detected: $(win.eventdata.description) by $(win.eventdata.user)
다음은 Sysmon을 사용하여 Wazuh에서 생성한 전체 경고의 예입니다.
그리고 그게 다야.
추가: 레거시 시스템.
내 시스템이 오래되어 sysmon을 지원하지 않으면 어떻게 합니까? 또 다른 방법은 보안 시스템 정책을 활성화하여 프로그램 실행을 추적하는 것입니다.
Wazuh Windows 에이전트 구성에서 이벤트 로그 데이터 수집을 활성화합니다.
Security eventlog
그리고 관리자에 대한 사용자 지정 규칙:
18104 Process started on windows server 4688
이 단계를 통해 다음과 같이 더 간단하지만 멋진 경고를 생성할 수 있습니다.
** Alert 1601034144.2471775: - local,syslog,sshd,
2020 Sep 25 11:42:24 (windows) any->WinEvtLog
Rule: 100009 (level 5) -> 'Process started on windows server'
User: (no user)
2020 Sep 25 11:42:21 WinEvtLog: registry: AUDIT_SUCCESS(4688): Microsoft-Windows-Security-Auditing: (no user): no domain: windows: S-1-5-21-3469229866-3176928381-1688825521-1000 vagrant WINDOWS 0x3fce6 0x1240 C:\Program Files (x86)\Internet Explorer\iexplore.exe %%1936 0xd9c ? S-1-0-0 - - 0x0 C:\Program Files\internet explorer\iexplore.exe S-1-16-12288
type: registry
보다 구체적인 보안 이벤트에 대한 하위 규칙을 만드는 것도 쉬울 것입니다.
그게 다야! 이 게시물이 도움이 되었기를 바랍니다. 도움이 필요한 경우 여기에서 질문하거나 Wazuh 슬랙 채널에서 스레드를 열면 누군가 기꺼이 도와줄 것입니다!
Reference
이 문제에 관하여(Wazuh 및 sysmon을 사용하여 Windows에서 프로그램 실행을 모니터링하는 방법.), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://dev.to/grg121/how-to-monitorize-program-execution-on-windows-using-wazuh-and-sysmon-3amj
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
Microsoft-Windows-Sysmon/Operational eventchannel
sysmon_event1 Process creation detected: $(win.eventdata.description) by $(win.eventdata.user)
sysmon_event1 mimikatz.exe Malicious program process creation detected: $(win.eventdata.description) by $(win.eventdata.user)
Security eventlog
18104 Process started on windows server 4688
** Alert 1601034144.2471775: - local,syslog,sshd,
2020 Sep 25 11:42:24 (windows) any->WinEvtLog
Rule: 100009 (level 5) -> 'Process started on windows server'
User: (no user)
2020 Sep 25 11:42:21 WinEvtLog: registry: AUDIT_SUCCESS(4688): Microsoft-Windows-Security-Auditing: (no user): no domain: windows: S-1-5-21-3469229866-3176928381-1688825521-1000 vagrant WINDOWS 0x3fce6 0x1240 C:\Program Files (x86)\Internet Explorer\iexplore.exe %%1936 0xd9c ? S-1-0-0 - - 0x0 C:\Program Files\internet explorer\iexplore.exe S-1-16-12288
type: registry
Reference
이 문제에 관하여(Wazuh 및 sysmon을 사용하여 Windows에서 프로그램 실행을 모니터링하는 방법.), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://dev.to/grg121/how-to-monitorize-program-execution-on-windows-using-wazuh-and-sysmon-3amj텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
좋은 웹페이지 즐겨찾기
