Notícias de dispositivos móveis, gadgets, aplicativos Android

SIEM Melhor Visibilidade para Analista SOC Lidar com um Incidente com ID de Evento

Estamos em um mundo complexo onde os ataques aumentam dia a dia, então hoje inteligência cibernética depende do SIEM como parte da infosec (gerenciamento de incidentes e eventos de segurança).

A maioria das empresas depende de logs e pacotes para ter uma vis√£o melhor. Acima de 90% delas est√£o trabalhando com logs em vez de pacotes.

Pessoas, processos e tecnologia ser√£o um tri√Ęngulo para opera√ß√Ķes de seguran√ßa.

Se você quiser se aprofundar Treinamento SOC, você pode fazer isso
Analista SOC ‚Äď Treinamento em intrus√£o de ataques cibern√©ticos do zero ao n√≠vel avan√ßado

A partir deste artigo, voc√™ saber√° o que s√£o logs e como eles s√£o analisados ‚Äč‚Äčpor meio do SIEM para melhor visibilidade para um analista lidar com um incidente.

Os logs s√£o uma parte essencial de cada dispositivo. logs s√£o elementos significativos que podem mostrar informa√ß√Ķes relevantes sobre as atividades do usu√°rio final para analistas de seguran√ßa sob SOC (Centro de Opera√ß√Ķes de Seguran√ßa) e tamb√©m faz parte da revis√£o de auditoria e conformidade.

Tomemos o cen√°rio em que o Windows o sistema operacional pode ser sua fonte de eventos e o Analista na outra extremidade.

Quais atividades voc√™ est√° realizando desde a inicializa√ß√£o at√© o desligamento ser√£o registradas e os registros ser√£o enviados para Centro de opera√ß√Ķes de seguran√ßa.

As atividades incomuns dos usu√°rios ser√£o registradas como um incidente no Centro de opera√ß√Ķes de seguran√ßa.

Logs são três tipos que serão acionados de acordo com as atividades realizadas em seu sistema

Aprender: Analista SOC ‚Äď Treinamento em Intrus√£o de Ataques Cibern√©ticos | Do princ√≠pio

Tipos de login Windows?

Em específico com Windows logs são três tipos de sistema, segurança e aplicativo

Registro do aplicativo

Cada aplicação terá seus logs, que serão acionados quando contiver erros ou um aviso será enviado ao SOC para revisão.

Registro de segurança

As atividades suspeitas do usuário para logins bem-sucedidos e com falha na conta serão registradas e a criação e o encerramento do processo para cada arquivo acessado pela conta do usuário registrada serão registrados nesta categoria.

N√≥s recomendamos:  Flipkart lan√ßa Android 9.0Smart TVs MarQ habilitadas para Rs 11.999

Registro do sistema

Registra que ocupa o processo de inicializa√ß√£o do kernel, atualiza√ß√Ķes de driver ou falha, windows atualiza√ß√Ķes, se coisas mais interessantes ser√£o registradas na categoria de log do sistema.

Como a segurança é nossa preocupação, discutiremos os logs de segurança e observaremos a figura para melhor compreensão. Nesta captura de tela, o analista está analisando um log para Windows fontes de eventos.

Como eu disse anteriormente, o Siem foi desenvolvido para ter visibilidade, portanto, quaisquer problemas de seguran√ßa que aconte√ßam com os usu√°rios finais devem ser acionados para o centro de opera√ß√Ķes de seguran√ßa.

Na imagem acima, um analista tem uma visibilidade clara das atividades do usuário final. Nisto, podemos ver que o ID do evento é 4720.

Quando uma nova conta de usuário é criada para contas de domínio ou contas SAM locais. Os logs de eventos serão estabelecidos com o ID de evento 4720 em relação à criação de uma nova conta de usuário.

Existem IDs de males semelhantes para hackers ūüėÄ

EVENTO ID 4725: Conta de usuário excluída

Quando a conta do usuário foi desabilitada em contas locais ou de domínio, esse ID de evento será acionado nas fontes de eventos e será enviado ao servidor Siem para visibilidade.

Uma conta de usu√°rio foi desativada

Subject
Security ID:  WIN- G5GS6SG\Administrator
Account Name:  Administrator
Account Domain:  WIN- G5GS6SG
Logon ID:  0x1fd23

Target Account:
Security ID:  WIN-G5GS6SG\BALA
Account Name:  BALA
Account Domain:  WIN-G5GS6SG

ID do evento 4625: falha ao fazer logon na conta

A adivinhação suspeita de nome de usuário e senha será acionada com esse ID de evento como uma senha desconhecida ou incorreta para o analista.

Uma conta n√£o conseguiu fazer logon.

Subject:
 Security ID:  NULL SID
Account Name:  -
Account Domain:  -
Logon ID:  0x0
Logon Type:  3
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:  BALA
Account Domain:  
Failure Information:
Failure Reason:  Unknown user name or bad password.
Status:   0xc000006d
Sub Status:  0xc0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
 Workstation Name: WIN-ADMIN
Source Network Address: 192.168.0.100
Source Port:  53176
Detailed Authentication Information:
 Logon Process:  NTLMSSP 
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length:  0

ID do evento 4726: conta de usuário excluída

Quando uma conta de usuário for excluída em contas locais ou de domínio este evento será registrado e encaminhado ao analista.

N√≥s recomendamos:  Chrome OS Beta para obter Android 11

Uma conta de usuário foi excluída.

Subject:
Security ID:  WIN-G6R56\Administrator
Account Name:  Administrator
Account Domain:  WIN-G6R56
Logon ID:  0x1fd23

Target Account:
Security ID:  WIN-G6R56\BALA
Account Name:  BALA
Account Domain:  WIN-G6R56

ID do evento 4608: Windows está começando

Windows a inicialização ou inicialização será registrada em relação ao nome de usuário e será acionada pelo analista.

Os analistas de segurança cibernética saberão quando você fez login e logout.

Example:
Windows is starting up.
This event is logged when LSASS.EXE starts and the auditing subsystem is
initialized.

ID do evento 4624: login de rede bem-sucedido

Todos os logins bem-sucedidos dentro ou fora da rede serão registrados; se for o administrador da rede, não há problemas, caso contrário, pode ser um comprometimento. Deve responder o mais rápido possível.

Uma conta foi conectada com sucesso.

Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3

Impersonation Level: Impersonation

New Logon:
Security ID: ADMIN\BALA
Account Name: BALA
Account Domain: ADMIN
Logon ID: 0x894B5E95
Logon GUID: {ghf73-h56f-5f11-29b8-hf6738hj}

Process Information:
Process ID: 0x0
Process Name: -

Network Information:
Workstation Name: 
Source Network Address: 192.168.1.1
Source Port: 59752

Detailed Authentication Information:
Logon Process: Kerberos
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0

ID do evento 4625: conta bloqueada por tentativas de falha

As tentativas malsucedidas de login na mesma conta serão bloqueadas e registradas, pois o evento será investigado por violação da política.

Uma conta n√£o conseguiu fazer logon.

Subject:
Security ID:  NULL SID
Account Name:  -
Account Domain:  -
Logon ID:  0x0
Logon Type:  3
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name: BALA
Account Domain:  
Failure Information:
Failure Reason:  Unknown user name or bad password.
Status:   0xc000006d
Sub Status:  0xc0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
 Workstation Name: WIN-ADMIN
Source Network Address: 192.168.1.1
Source Port:  53176
Detailed Authentication Information:
 Logon Process:  NtLmSsp 
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length:  0

ID do evento 1102: os logs de auditoria foram apagados

Quando os logs de seguran√ßa, do sistema ou do aplicativo s√£o apagados ou exclu√≠dos, eles ser√£o registrados para uma investiga√ß√£o. Outros m√©todos forenses podem ser usados ‚Äč‚Äčpara recuperar os logs.

The audit log was cleared
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name: BALA
Account Domain:
Logon ID: 0x169e9

Em geral a ferramenta SIEM coleta logs de dispositivos presentes na infraestrutura da Organiza√ß√£o. Algumas solu√ß√Ķes tamb√©m coletam NetFlow e at√© pacotes brutos.

N√≥s recomendamos:  'Amn√©sia:33' falhas de TCP/IP afetam milh√Ķes de dispositivos IoT

Com os dados coletados (principalmente logs e pacotes), a ferramenta fornece informa√ß√Ķes sobre os acontecimentos da rede.

Voc√™ pode nos seguir em Linkedin, Twittere Facebook para atualiza√ß√Ķes di√°rias de seguran√ßa cibern√©tica.

Além disso, leia