• ایرانشل
  • وبلاگ
    • مفاهیم امنیت شبکه
    • معرفی راهکارها و سرویس‌های امنیتی
    • آموزش‌‌ راهکارهای امنیت شبکه
    • تهدیدات امنیتی
  • اخبار
  • دوره‌های امنیت
    • مسیرهای شغلی امنیت سایبری

ورود

رمز عبور را فراموش کرده اید؟

هنوز عضو نشده اید؟ عضویت در سایت
ایرانشل
  • ایرانشل
  • وبلاگ
    • مفاهیم امنیت شبکه
    • معرفی راهکارها و سرویس‌های امنیتی
    • آموزش‌‌ راهکارهای امنیت شبکه
    • تهدیدات امنیتی
  • اخبار
  • دوره‌های امنیت
    • مسیرهای شغلی امنیت سایبری
ورود و ثبت نام

وبلاگ

وبلاگ > آموزش‌‌ راهکارهای امنیت شبکه > نحوه بررسی بدافزار با استفاده از Splunk و Sysmon

نحوه بررسی بدافزار با استفاده از Splunk و Sysmon

آموزش‌‌ راهکارهای امنیت شبکه
ارسال شده توسط ایرانشل
27 مارس 2022
1.26k بازدید

System Monitor یا sysmon یک نرم‌افزار کوچک می‌باشد که به صورت سرویسی و درایور بر روی سیستم عامل نصب می‌شود. Sysmon بعد از یک بار نصب در راه‌اندازی‌های مجدد سیستم عامل به صورت دائمی فعال باقی می‌ماند. این نرم‌افزار در واقع اطلاعات دقیقی در مورد نحوه ایجاد و ماهیت پردازه‌ها، اتصالات شبکه و تغییرات در زمان ایجاد فایل‌ها و سایر اقدامات حول این موضوعات ارائه می‌دهد. ما می‌توانیم با جمع‌آوری و تجزیه تحلیل این رویدادها از طریق ایجنت‌های مربوط به SIEM ها از جمله Universal Forwarder اسپلانک، فعالیت‌های مخرب یا غیرعادی را شناسایی و نحوه فعالیت مهاجمان و بدافزارها در شبکه خود را به درستی درک کنیم.

قابلیت‌های Sysmon

  • رویدادنگاری ایجاد پردازه‌ها با کلیه دستورات Command line مربوط به پردازه فعلی و پردازه والد آن.
  • ایجاد hash از image فایل مربوط به پردازه با استفاده از متدهای md5, sha1 و sha256.
  • قابلیت استفاده از چندین hash به صورت همزمان.
  • هر رویداد شامل یک GUID برای هر پردازه در رویدادنگاری می‌باشد که از این طریق امکان همبستگی رویدادها در صورت استفاده مجدد از شماره رویدادها فراهم می‌شود.
  • هر رویداد شامل یک GUID نشست می‌باشد که از آن جهت پردازش رویدادهای مربوط به logon session های یکسان استفاده می‌شود.
  • امکان رویدادنگاری بارگیری هر نوع درایور یا DLL به همراه hash و signature آنها.
  • رویدادنگاری دسترسی‌های مربوط به خواندن دیتا از دیسک‌ها و درایوها.
  • رویدادنگاری اتصالات شبکه‌ای ازجمله پردازه مربوط به هر اتصال، آدرس IP مبدا و مقصد، شماره پورت مبدا و مقصد، اسم هاست و اسم پورت.
  • شناسایی تغییر در زمان ایجاد فایل برای شناسایی اینکه فایل دقیقا کی ایجاد شده است. تغییر در زمان ایجاد فایل تکنیکی است که معمولا توسط بدافزارها برای پاک کردن ردپایشان انجام می‌شود.
  • بارگیری اتوماتیک تنظیمات در صورت تغییر در رجیستری.
  • رویدادنگاری از فرآیند boot شدن سیستم عامل برای ثبت فعالیت‌های بدافزارهای پشرفته در کرنل.

نصب Sysmon بر روی ویندوز

برای نصب Sysmon ابتدا نسخه مورد نظر را از سایت microsoft دانلود و با استفاده از دستور زیر نصب می‌کنیم.

sysmon -accepteula -i

بعد از نصب، Sysmon به صورت اتوماتیک بر روی سیستم فعال و رویدادهای خود را در مسیر Applications and Services Logs/Microsoft/Windows/Sysmon/Operational ذخیره می‌کند. جدول زیر شامل همه Event ID های مربوط به Sysmon می‌باشد.

IDTag
1 ProcessCreate ProcessCreate
2 FileCreateTimeFile creation time
3 NetworkConnectNetwork connection detected
4 n/aSysmon service state change (cannot be filtered)
5 ProcessTerminateProcess terminated
6 DriverLoadDriver Loaded
7 ImageLoadImage loaded
8 CreateRemoteThreadCreateRemoteThread detected
9 RawAccessReadRawAccessRead detected
10 ProcessAccessProcess accessed
11 FileCreateFile created
12 RegistryEventRegistry object added or deleted
13 RegistryEventRegistry value set
14 RegistryEventRegistry object renamed
15 FileCreateStreamHashFile stream created
16 n/aSysmon configuration change (cannot be filtered)
17 PipeEventNamed pipe created
18 PipeEventNamed pipe connected
19 WmiEventWMI filter
20 WmiEventWMI consumer
21 WmiEventWMI consumer
22 DNSQueryDNS query
23 FileDeleteFile Delete archived
24 ClipboardChangeNew content in the clipboard
25 ProcessTamperingProcess image change
26 FileDeleteDetectedFile Delete logged

نحوه بررسی بدافزار با استفاده از Splunk و Sysmon

اشتراک گذاری:
برچسب ها: Sysmonاسپلانک

دیدگاهتان را بنویسید لغو پاسخ

درباره ایرانشل

تیم ایرانشل با این هدف تشکیل شده است‌ تا بتوانند با کمک شما همراهان عزیز اقدامات مثبتی در جهت شفاف‌سازی نیازمندی‌های امنیتی، معرفی سرویس‌ها و راهکارهای امنیتی انجام دهد.

عضویت در خبرنامه

اطلاعات تماس
  • تهران - خیابان شریعتی - بالاتر از پل سیدخندان
  • 09125162976
  • [email protected]
شبکه‌های اجتماعی
کلیه حقوق این وب سایت متعلق به ایرانشل می‌باشد.
جستجو

جستجو با زدن Enter و بستن با زدن ESC