Notícias de dispositivos móveis, gadgets, aplicativos Android

Mergulhando mais fundo Windows Logs de eventos para Security Operation Center (SOC) – Guia

O centro de operações de segurança cibernética protege as organizações e os dados comerciais confidenciais dos clientes.

Garante o monitoramento ativo de ativos valiosos do negócio com visibilidade, alertando e investigando ameaças, e uma abordagem holística para gerenciar riscos.

Serviço de análise pode ser um serviço de segurança interno ou gerenciado. Coletar logs de eventos e analisar logs de ataques do mundo real é o coração do centro de operações de segurança.

Eventos – O centro de operações de segurança

Os eventos são gerados por sistemas que são códigos de erro, os dispositivos geram eventos com sucesso ou falha em seu funcionamento normal.

portanto, o registro de eventos desempenha um papel importante na detecção de ameaças. Na organização, existem vários números e sabores de WindowsLinux, firewalls, IDS, IPS, Proxy, Netflow, ODBC, AWS, VMware, etc.

Esses dispositivos geralmente rastreiam as pegadas dos invasores como registros e as encaminham para ferramentas SIEM para análise. Neste artigo, veremos como os eventos são enviados para o coletor de log. Para saber mais sobre Windows eventos ou IDs de eventos consulte aqui.

Coletor de registros

É um servidor centralizado para receber logs de qualquer dispositivo. Aqui eu implantei o Snare Agent em Windows 10 máquina.

Então vamos coletar Windows logs de eventos e detectar ataques em Windows 10 ataques de máquinas usando Agente de armadilha.

A armadilha é SIEM(INCIDENTE DE SEGURANÇA E GESTÃO DE EVENTOS) Solução para coletor de log e analisador de eventos em diversos sistemas operacionais WindowsLinux, OSX Applee oferece suporte a eventos MSSQL do agente de banco de dados gerados pelo Microsoft SQL Server. Ele oferece suporte a agentes corporativos e de código aberto.

Instalação da caixa

  • Para fins de demonstração, não tenho usado credenciais, mas é sempre recomendado usar senhas fortes para proteger os logs sem vazamentos.

Interface da Web da armadilha: –

  • Por padrão, a caixa será executada na porta 6161.
  • Uma porta aleatória também pode ser escolhida com protocolos TCP ou UDP ou TLS/SSL.
  • Snare solicitará credenciais para fazer login. Aqui não forneci nenhuma autenticação.
  • A figura abaixo mostra o sucesso da instalação do agente snare e fornece detalhes adicionais na tela.
Nós recomendamos:  Códigos de resgate BGMI para 28 de setembro de 2023

Configuração de rede e destino de arquivos

  • Nosso Windows 10 começa a enviar logs de eventos para o console Snare.
  • O console da caixa está rodando em localhost e coletando logs de um Windows máquina.

NOTA: Os logs podem ser enviados para um servidor centralizado e, em seguida, o servidor centralizado envia os logs para o SIEM (para reduzir o carregar no SIEM, este método é usado), envie logs de armadilha diretamente para o SIEM (se o seu SIEM for capaz de um bom armazenamento para um retenção de log de longo e curto prazo (este método pode ser implantado), é recomendado configurar seu SIEM com detalhes de porta de armadilha e conexão de teste deve ser o sucessor para coletar logs.

  • Assim você pode alterar o IP de destino da rede para SIEM IP ou LOG ​​COLLECTOR IP.
  • A figura acima mostra que o destino está configurado com localhost para coletar e armazenar logs de eventos em vários formatos SNARE, SYSLOG, CEF (formato de evento comum) ou LEEF (formato estendido de evento de log)
  • Por padrão, ele coletará logs e salvará arquivos com formato de caixa e os logs serão encaminhados para o SIEM.

Configuração de acesso

  • Porta do servidor Web, autenticação para acesso ao console e Protocolo de servidor web pode ser facilmente definido de acordo com seu ambiente.
  • A figura acima mostra uma configuração com Porta do servidor Web 6161, porta do agente Snare 6262 e HTTP como protocolo de servidor web para fins de demonstração, é recomendado instalar um certificado para conexão segura para encaminhar logs.

Configuração objetiva

  • O objetivo inclui eventos com diferentes categorias que podem ser Windows Fazer logon/logoff, acesso a arquivo ou diretório, alteração de política de segurança, reinicialização e desligamento do sistema.
  • Modifique ou exclua eventos específicos para atribuir uma prioridade(Crítico, Alto, Baixo & Informação)

Estatísticas do serviço de auditoria

  • O Serviço de Auditoria garante que a armadilha esteja conectada e envia logs para o SIEM.
  • Mostra a média diária de bytes de eventos transmitidos ao SIEM.
Nós recomendamos:  Itel P40 com um 6Bateria de .000mAh lançada na Índia, ao preço de Rs 7,699
  • Em caso de falhas de rede, o Administrador Soc pode verificar o status do serviço.

Certificação de Segurança – O centro de operações de segurança

  • Para tornar a conexão criptografada e gerar um certificado autoassinado para WEB-UI, agente de armadilha e validação de certificado de destino de rede para estabelecer uma maneira segura de encaminhar logs para SIEM.

Serviço de reinicialização

  • Se o SIEM não estiver coletando logs de eventos do agente Snare por um tempo, então é hora de solucionar problemas e recuperar logs do servidor Snare.
  • A figura acima mostra que os serviços Snare foram reiniciados com sucesso.

Eventos – O centro de operações de segurança

  • Windows 10 está encaminhando logs de eventos para seu SIEM implantado ou os eventos podem ser visualizados no console de caixa.
  • Sempre que não for possível abrir e buscar intrusões em seu ambiente com armadilha, por esse motivo, estamos encaminhando logs ao SIEM para Inteligência detectar ataques.
  • SIM será inteligente para capturar invasores construindo uma regra de correlação eficaz.
  • Imagens acima com IDs de evento 4625 que falharam na tentativa de senha Windows 10 máquina seguida por evento 4689 bem-sucedido.
  • Lista de Windows IDs de eventos aqui

NOTA: As figuras acima mostram tentativas fracassadas seguidas de login bem-sucedido.

Regra de correlação e incidentes

  • É um mecanismo projetado para escrever uma regra defensiva para detectar jogadores ofensivos. Cada regra será um incidente único.
  • Exemplo: suponha que você esteja escrevendo uma regra para um tentativa de força bruta, As tentativas de força bruta terão threads contínuos com uma senha diferente para o servidor.
  • Conforme NOTA: tentativas fracassadas seguidas de login bem-sucedido.
Nós recomendamos:  Melhores alternativas para Y2mate – uma lista abrangente em 2023

Regra de correlação: tentativas de senha malsucedidas + seguidas de login bem-sucedido = força bruta (incidente)

Agora que o ambiente do seu cliente está pronto para um caso de uso conhecido (força bruta detectada), você também pode construir ou escrever seu próprio caso de uso e implantá-lo em seu SIEM para detectar ataques cibernéticos sofisticados!!!

Além disso, recomendamos que você faça um dos principais cursos on-line para Analistas SOC – Treinamento em intrusão de ataques cibernéticos | Do zero para aprimorar suas habilidades para se tornar um analista SOC.

Além disso, leia

Lista de ferramentas de resposta a incidentes cibernéticos mais importantes para hackers éticos e testadores de penetração

Gerenciamento de eventos e informações de segurança (SIEM) – uma explicação detalhada

Agente de malware Linux ataca sites de comércio eletrônico e rouba dados de pagamento