راهنمای جامع Event IDهای ویندوز برای متخصصان SOC: شناسایی، تحلیل و پاسخگویی به رخدادهای امنیتی
در سیستمعامل ویندوز، Event IDها بهعنوان شناسههای یکتایی برای ثبت رخدادها به کار میروند. این رخدادها شامل ورود و خروج کاربران، تغییرات در مجوزهای دسترسی، خطاها و فعالیتهای سیستم است. Windows Event Viewer، ابزار پیشفرضی برای مشاهده و بررسی این لاگهاست که از طریق آن میتوان به اطلاعات ارزشمندی درباره عملکرد سیستم دست یافت. در دنیای امنیت سایبری، متخصصان SOC (Security Operations Center) برای نظارت بر وضعیت امنیتی سیستمها و شناسایی تهدیدات احتمالی از این Event IDها استفاده میکنند.
دستهبندی Event IDها
Event IDها بسته به نوع و اهمیت رخداد، به دستههای مختلفی تقسیم میشوند:
- دسترسی و احراز هویت (Authentication and Access Control): شامل ورود و خروج کاربران و تغییرات در دسترسیها.
- تغییرات سیستم و امنیتی (System and Security Changes): شامل هرگونه تغییر در تنظیمات سیستم و یا نصب و حذف سرویسها.
- رخدادهای شبکه و دسترسی به منابع (Network and Resource Access Events): مربوط به فعالیتهای شبکهای و دسترسی به منابع.
- حملات سایبری و رفتارهای مشکوک (Cybersecurity and Suspicious Activities): شامل تلاشهای مشکوک برای دسترسی به سیستم و فعالیتهای غیرعادی.
لیست کاملتر و توضیحات تفصیلی Event IDها برای هر دسته
1. Event IDهای دسترسی و احراز هویت
این Event IDها برای مانیتورینگ دسترسیها و شناسایی ورودهای غیرمجاز بسیار مهم هستند. به کمک این Event IDها میتوان فعالیتهای کاربران را ردیابی و در صورت نیاز اقدامات لازم را انجام داد.
| Event ID | توضیح | اهمیت |
|---|---|---|
| 4624 | ورود موفق یک کاربر به سیستم | ردیابی ورودهای مجاز به سیستم، مهم در تحلیل فعالیتهای کاربر |
| 4625 | تلاش ناموفق برای ورود به سیستم | شناسایی تلاشهای مشکوک برای دسترسی غیرمجاز به سیستم |
| 4648 | استفاده از حساب کاربری دیگر برای اجرای فرآیند | بررسی اجرای عملیات با حسابهای مختلف و نظارت بر تلاشهای نفوذ |
| 4672 | اعطای مجوزهای ویژه به کاربر | نظارت بر دسترسیهای سطح بالا برای جلوگیری از سوءاستفادههای احتمالی |
| 4634 | خروج کاربر از سیستم | برای اطمینان از خروج کاربران پس از استفاده و جلوگیری از دسترسیهای طولانیمدت |
| 4768 | درخواست بلیط Kerberos (TGT) | نظارت بر درخواستهای احراز هویت با Kerberos و شناسایی تلاشهای مخرب |
| 4776 | تلاش برای تأیید هویت حساب توسط NTLM | ردیابی تلاشهای ورود از طریق پروتکل NTLM |
2. Event IDهای تغییرات سیستم و تنظیمات امنیتی
این دسته برای نظارت بر تغییرات سیستم و تنظیمات امنیتی است که ممکن است نشانههایی از حملات داخلی یا تغییرات غیرمجاز باشد.
| Event ID | توضیح | اهمیت |
|---|---|---|
| 4670 | تغییر در مجوز دسترسی به شیء | نظارت بر تغییرات در مجوزها برای جلوگیری از دسترسیهای غیرمجاز |
| 4688 | اجرای فرآیند جدید | شناسایی اجرای فرآیندهای مشکوک یا اجرای نرمافزارهای مخرب |
| 4697 | نصب سرویس جدید | شناسایی نصب سرویسهای جدید و ارزیابی امنیتی آنها |
| 4719 | تغییر در سیاستهای حسابرسی سیستم | شناسایی تغییرات در تنظیمات حسابرسی که ممکن است از حملات داخلی ناشی شود |
| 4720 | ایجاد حساب کاربری جدید | نظارت بر ایجاد حسابهای جدید برای جلوگیری از دسترسیهای غیرمجاز |
| 4726 | حذف حساب کاربری | شناسایی حذف حسابهای کاربری، ممکن است از تهدیدات داخلی ناشی شود |
| 5059 | عدم موفقیت در ایجاد کلید رمزنگاری | بررسی مشکلات رمزنگاری و اطمینان از امنیت دادهها |
3. Event IDهای شبکه و دسترسی به منابع
این دسته برای شناسایی و نظارت بر دسترسیهای شبکه و ارتباطات بین سیستمها و سرویسها استفاده میشود. این Event IDها میتوانند به شناسایی حملات و تهدیدات در شبکه کمک کنند.
| Event ID | توضیح | اهمیت |
|---|---|---|
| 5156 | اتصال موفق بین برنامهها (در فایروال) | نظارت بر ارتباطات شبکه و شناسایی ارتباطات مشکوک |
| 5157 | رد دسترسی به شبکه توسط فایروال | شناسایی تلاشهای غیرمجاز برای دسترسی به شبکه |
| 5140 | دسترسی به یک اشتراک شبکه | شناسایی دسترسیهای شبکهای و کنترل بر استفاده از منابع اشتراکی |
| 5145 | دسترسی به فایلهای اشتراکی | نظارت بر استفاده از فایلهای به اشتراکگذاری شده و جلوگیری از دسترسیهای مشکوک |
| 6400 | شروع عملیات تغییر مسیر بستههای شبکه | شناسایی فعالیتهای مشکوک در شبکه، مانند مسمومیت DNS |
| 6401 | درخواست ارسال بسته با زمان زندگی منقضی | نظارت بر تلاشهای مخرب برای دستکاری ارتباطات شبکهای |
4. Event IDهای مرتبط با حملات سایبری و رفتارهای مشکوک
این دسته شامل Event IDهایی است که برای شناسایی حملات سایبری و فعالیتهای مشکوک به کار میروند و میتوانند به تیم SOC در پاسخ به رخدادهای امنیتی کمک کنند.
| Event ID | توضیح | اهمیت |
|---|---|---|
| 4771 | شکست در احراز هویت Kerberos (عدم تطابق رمز) | شناسایی تلاشهای مکرر برای ورود که ممکن است از حملات brute-force باشد |
| 4820 | تلاشهای ورود مشکوک از مکانهای جغرافیایی متفاوت | شناسایی و جلوگیری از حملات جعل هویت جغرافیایی |
| 1102 | پاک شدن لاگهای امنیتی | شناسایی تلاش برای مخفی کردن ردپای مهاجم و بازیابی امنیت سیستم |
| 4673 | درخواست دسترسی به فرآیند حساس | نظارت بر دسترسیهای غیرمجاز به فرآیندهای حساس سیستم |
| 4674 | تلاش برای دسترسی به شیء حساس با سطح دسترسی بالا | شناسایی تلاشهای نفوذ با دسترسیهای حساس برای جلوگیری از حملات داخلی |
ابزارها و تکنیکهای SOC برای پایش Event IDها
تیمهای SOC برای مدیریت و نظارت بهتر بر Event IDها از ابزارهایی مانند SIEM (Security Information and Event Management) بهره میبرند که در زیر به برخی از قابلیتهای مهم آنها اشاره میکنیم:
- هشدارها و آستانههای نظارتی: با تعریف قوانین خاص در ابزارهای SIEM میتوان هشدارهایی برای Event IDهای مشکوک ایجاد کرد تا در زمان واقعی به تهدیدات پاسخ داد.
- آنالیز رفتارهای کاربران و سیستم: با بررسی رویدادهای ثبتشده و مقایسه الگوها میتوان رفتارهای غیرعادی را شناسایی و در مراحل اولیه به تهدیدات پاسخ داد.
- پاسخ خودکار به رخدادها: برخی از ابزارهای SIEM امکان واکنش خودکار به رخدادهای امنیتی را دارند که باعث کاهش زمان پاسخگویی به تهدیدات میشود.
Windows Event IDها نقش بسیار مهمی در نظارت بر سیستم و شناسایی تهدیدات ایفا میکنند. متخصصان SOC با استفاده از این شناسهها میتوانند به شناسایی فعالیتهای مشکوک، تغییرات غیرمجاز، و دسترسیهای غیرمجاز بپردازند. داشتن دانش کافی از Event IDهای مهم و بهرهگیری از ابزارهای نظارتی میتواند به تقویت امنیت سازمان کمک شایانی کند.
نقش Sysmon در ثبت لاگهای امنیتی ویندوز: شناسایی دقیق تهدیدات و تحلیل فعالیتهای مشکوک
Sysmon (یا System Monitor) ابزاری از مجموعه Sysinternals است که به منظور ارائهی جزئیات دقیقتر و شفافتر از فعالیتهای سیستمعامل در لاگها استفاده میشود. برخی از انواع لاگهایی که Sysmon میتواند برای آنها بسیار مفید باشد عبارتند از:
- اجرای فرآیندها:
- Sysmon قادر است لاگهای دقیقتری از آغاز و پایان فرآیندها ثبت کند. این شامل اطلاعاتی همچون نام فرآیند، مسیر فایل اجرایی، هش فایل، و شناسه کاربری است که فرآیند را اجرا کرده است.
- این جزئیات برای شناسایی نرمافزارهای مخرب و بررسی فعالیتهای مشکوک در سیستم اهمیت دارد.
- ایجاد یا تغییر فایلها:
- Sysmon فعالیتهای مربوط به ایجاد، تغییر، یا حذف فایلها را به صورت دقیق ثبت میکند. این لاگها به تیمهای امنیتی کمک میکنند تا تغییرات غیرمجاز در فایلهای حساس را شناسایی کنند.
- برای شناسایی بدافزارها، مثل ransomwareها که فایلها را تغییر میدهند، این لاگها مفید هستند.
- شبکه و اتصالات اینترنتی:
- Sysmon میتواند ارتباطات شبکهای برقرار شده توسط فرآیندهای مختلف را به همراه پورت و آیپی آدرسهای مقصد و مبدا ثبت کند.
- این لاگها به متخصصان کمک میکنند تا فعالیتهای مشکوک شبکه، مانند ارتباطات غیرمجاز و بدافزارهایی که با سرورهای خارجی ارتباط میگیرند، شناسایی کنند.
- تغییر در رجیستری ویندوز:
- با استفاده از Sysmon، میتوان تغییرات دقیقتری را در رجیستری ویندوز ثبت کرد. این لاگها برای شناسایی دستکاریهای مخرب در رجیستری، مانند تغییراتی که بدافزارها برای ماندگاری در سیستم ایجاد میکنند، کاربرد دارند.
- ایجاد یا تغییر سرویسها:
- Sysmon میتواند ایجاد، حذف، یا تغییرات در سرویسها را ثبت کند. این اطلاعات برای شناسایی سرویسهای مخرب یا تغییرات غیرمجاز در سرویسهای حیاتی سیستم استفاده میشوند.
- بارگذاری کتابخانههای DLL:
- Sysmon لاگهایی را از بارگذاری فایلهای DLL توسط فرآیندها ثبت میکند. این مورد به شناسایی فعالیتهای مشکوکی که با بارگذاری DLLهای مخرب رخ میدهد، کمک میکند.
- دسترسی به اشیاء خاص سیستم (Object Access):
- Sysmon فعالیتهای دسترسی به فایلهای حساس یا سیستمعامل را ثبت میکند و اطلاعاتی از کاربر و فرآیندی که به این فایلها دسترسی دارد را فراهم میکند.
- رویدادهای مرتبط با Clipboard:
- Sysmon میتواند تغییرات مربوط به Clipboard را نیز ثبت کند که برای شناسایی فعالیتهای جاسوسی و جلوگیری از دسترسی غیرمجاز به دادههای کپیشده توسط کاربران مفید است.
استفاده از Sysmon برای ثبت این رویدادها به تیمهای SOC امکان میدهد تا دید عمیقتری نسبت به فعالیتهای سیستم داشته باشند و با دقت بیشتری تهدیدات امنیتی را شناسایی و به آنها پاسخ دهند.
مطالب زیر را حتما بخوانید
-
راهنمای Auditd در لینوکس: نصب، پیکربندی و تحلیل لاگها
868 بازدید
-
شبیهسازی حرفهای محیط SOC: راهاندازی، ابزارها و تحلیل تهدیدات با Splunk
929 بازدید
-
10 قابلیت ضروری یک مرکز عملیات امنیت (SOC) مدرن
499 بازدید
-
دوره SOC-200 شرکت OffSec: مقدمهای بر عملیات مرکز امنیت (SOC)
572 بازدید
-
مقایسه جامع Zeek و Splunk Stream: یک راهنمای کامل برای انتخاب ابزار مناسب
609 بازدید
-
Splunk Stream چیست و چه کاربردی دارد؟
640 بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.