Taking too long? Close loading screen.

شکارتهدیدات روی لاگ ویندوزبا اسپلانک

شکارتهدیدات روی لاگ ویندوزبا اسپلانک

لاگ ویندوز یکی از ارزشمندترین لاگ‌ها برای فعالیت شکار تهدیدات است. اطلاعات مختلفی از لاگ ویندوز قابل استخراج است. به‌عنوان مثال، اطلاعات لاگین کاربران، اطلاعات تغییرات روی فایل‌ها، اطلاعات حذف/ایجاد حساب کاربری و … .

تحلیل لاگ‌های ویندوز می‌تواند نقطه شروع خوبی برای ایجاد یا دنبال کردن یک فرضیه (فرضیه شکار تهدیدات) باشد. علاوه بر این، می‌توان از تحلیل ترکیبی لاگ ویندوز با سایر لاگ‌ها (از دستگاه‌های شبکه، آنتی ویروس و …) به رشته‌ای از تهدیدات دست یافت که نتیجه بسیار ارزشمندی به دنبال خواهد داشت.

در این بخش، سه لاگ بسیار ارزشمند ویندوز که در اکثر فعالیت‌های شکار تهدیدات مورد استفاده قرار می‌گیرد، بررسی و نمونه تحلیلی از آن ارایه شده است.

لاگ ویندوز با شناسه ۴۶۸۸

هنگامی این لاگ تولید می‌شود که پردازه جدیدی در سیستم ایجاد شود. به بیان دیگر، هر برنامه‌‌ای که توسط کاربر یا سیستم‌عامل اجرا شود، لاگی با این شناسه تولید می‌شود. در صورتی که یک سیستم ویندوزی با یک بدافزار و یا ویروس آلوده شود، جستجو در بین لاگ‌های ۴۶۸۸ پردازه‌هایی که توسط بدافزار یا ویروس اجرا شده است را نشان خواهد داد.

از نظر شکار تهدیدات، می‌توان فرض کرد پردازه‌هایی که کمترین تکرار (وقوع) را دارند، می‌توانند مخرب باشند. یا توسط یک بدافزار یا ویروس ایجاد شده باشند؛ اینگونه بدافزارها نیاز به بررسی بیشتری دارند.

 جستجوی زیر با استفاده از ابزار اسپلانک، پردازه‌های جدیدا ایجاد شده به همراه شناسه پردازه والد آن‌ها را بر می‌گرداند. اما این اطلاعات (نتیجه این جستجو) چه اهمیتی دارد؟ از آن‌جایی که پردازه‌های فرزند، شناسه پردازه والد یکسانی خواهند داشت، می‌توانید به‌راحتی به بدافزار یا ویروسی که این پردازه‌ها (پردازه‌های فرزند) را ایجاد کرده دست یابید و به طور کامل آلودگی را رفع و رهگیری کنید.

همچنین در نتیجه حاصل از این جستجو، می‌توانید روی پردازه‌هایی که از مسیرهای غیرمعمول (مسیرهایی به جز C:\windows\system32 یا C:\Program Files) ایجاد شده‌اند تمرکز کنید. با شناسایی پردازه‌های نادر روی سیستم، می‌توانید به اطلاعات ارزشمندتری نیز دست یابید.

شکارتهدیدات روی لاگ های ویندوزبا اسپلانک
شکارتهدیدات روی لاگ های ویندوزبا اسپلانک

لاگ ویندوز با شناسه ۴۷۳۸

هنگامی این لاگ تولید می‌شود که یک حساب کاربری تغییر کند. به‌عنوان نمونه‌ای بسیار مهم و ارزشمند, هنگامی که یک حساب کاربری معمولی به حساب کاربری مدیر سیستم تغییر وضعیت می‌یابد لاگی با شناسه مذکور تولید خواهد شد.

بنابراین از مهمترین کاربردهای این لاگ شناسایی فعالیت‌های ترفیع سطح دسترسی غیرمجاز است. یکی از شکارهای با ارزش روی این لاگ (یکی از تکنیک‌های شکار) جستجوی هرچیزی است که در ۲ دقیقه قبل و بعد از تولید این لاگ رخ داده است.

لاگ ویندوز با شناسه ۴۶۲۴

هنگامی این لاگ تولید می‌شود که یک حساب کاربری لاگین موفق داشته باشد. این اطلاعات می‌تواند برای ایجاد خط مبنایی از زمان و مکان‌های لاگین مورد استفاده قرار گیرد. با استفاده از ابزار اسپلانک، می‌توان هرگونه ناهنجاری نسبت به لاگین‌های نرمال و عادی را یافت که می‌تواند نشانه‌ای از نفوذ و مخاطره حساب کاربری باشد.

از ویژگی‌های لاگ با شناسه ۴۶۲۴ این است که انواع فعالیت لاگین را نشان می‌دهد. به عنوان نمونه لاگین از شبکه یا به صورت محلی. شناسایی ناهنجاری می‌تواند براساس زمان لاگین یا نوع لاگین، یعنی شناسایی زمان‌های ناهنجار لاگین یا انواع ناهنجار و غیرمنتظره لاگین صورت گیرد.

به‌عنوان نمونه با جستجوی زیر در اسپلانک می‌توان زمان‌های ناهنجار لاگین را شناسایی کرد.

لاگ ویندوز با شناسه ۱۱۰۲

این لاگ زمانی تولید می‌شود که مدیر سیستم لاگ‌های Audit ویندوز را پاک می‌کند. پاک کردن لاگ‌های مذکور فعالیتی کاملا مشکوک است که نباید در شرایط عادی اتفاق بیافتد. شکارچی تهدید باید لاگ‌هایی با شناسه ۱۱۰۲ را به‌‌عنوان رویدادی حیاتی و بسیار مهم تلقی کند و بررسی آن را با ابزارهایی نظیر اسپلانک در اولویت قرار دهد.

صفحه اصلی

اخبار ارزهای دیجیتال

شکارتهدیدات روی لاگ ویندوزبا اسپلانکشکارتهدیدات روی لاگ ویندوزبا اسپلانکشکارتهدیدات روی لاگ ویندوزبا اسپلانکشکارتهدیدات روی لاگ ویندوزبا اسپلانکشکارتهدیدات روی لاگ ویندوزبا اسپلانکشکارتهدیدات روی لاگ ویندوزبا اسپلانک