Розслідування журналу подій Windows для прихованих активностей

pic

Обережно, кібер-тостер

Дивіться, я розумію. Ви, ймовірно, думаєте: «Ще одна урядова ініціатива в сфері кібербезпеки? Хіба мій принтер уже не намагався зламати мене двічі цього тижня?» Але дочекайтеся, тому що це насправді досить цікаво. (Не, справді.)

Байден щойно оприлюднив те, що може стати фінальним поворотом сюжету його адміністрації: указ про кібербезпеку, який вимагає від технологічних компаній

доведіть, що ви не підозрілі

перед тим, як продавати уряду США. І чесно кажучи? Це не така вже й погана ідея, правда?

Деталі

Після того, як хакери почали ставитися до нашої національної інфраструктури, як до їхнього особистого серверу Minecraft, адміністрація Байдена вирішила зробити кілька кроків. Новий указ є урядовою версією того друга, який НАКІНЦІ включив двофакторну аутентифікацію після того, як його Instagram зламали втретє.

Основні моменти? Тепер компанії, які продають техніку уряду, повинні:

  • Довести, що їхні методи розробки справді безпечні (шокуюча концепція, знаю)
  • Публічно ділитися своїми звітами про безпеку (прозорість зараз на піку моди)
  • Справді повідомляти своїх клієнтів у хмарі, як не бути поновленими (революційні речі)

Але це ще не все! Пам’ятаєте той “Маркер кібердовіри США”, який вони анонсували на минулому тижні? Це як етикетка ENERGY STAR, але для того, щоб ваш холодильник не став самосвідомим і не приєднався до ботнета. До 2027 року уряд буде купувати тільки IoT пристрої з цією етикеткою.

Поворот сюжету (Спеції)

Трамп уже має ключі від королівства, а команда Байдена з кібербезпеки навіть не попила кави з новою адміністрацією. Це справжній приклад передачі естафети в естафетному забігу, в якому ще ніхто не з’явився.

Справжнє питання не в тому, чи хороші ці ідеї (вони хороші), або чи вони необхідні (лол, ви бачили новини?). Питання в тому, чи переживуть вони перехід. Нічого не говорить «будь ласка, скасуйте це» так, як впровадження великих змін в політиці під час останнього кола в Овальному кабінеті.

Перевірка реальності

Дивимося з висоти. У нас є:

Тож так, можливо, нам ТАКОЖ потрібно доросле нагляд за кібербезпекою.

Питання в тому, чи ці правила залишаться достатньо довго, щоб змінити ситуацію, чи приєднаються вони до мого ніндзя-блендера в могилі хороших намірів?

І наостанок

Незалежно від того, чи переживуть ці заходи перехід, вони вказують на дещо реальне: наш поточний підхід

“довіряй мені, брате”

до кібербезпеки не працює. Може, настав час визнати, що дозволяти компаніям самостійно перевіряти свою кібербезпеку — це не та галактична ідея, якою ми думали.

А тим часом я буду тут, чекаючи, коли мій тостер отримає сертифікацію Cyber Trust Mark.

П.С. (І так, я написав цю статтю на захищеному пристрої. Мабуть. Можливо. Дивіться, я стараюся, добре?)

Застереження: AI допомогла в написанні цієї статті, як і співпілот допомагає вам писати код щодня.
pic

Ця стаття надає глибоке розуміння журналів подій, різних типів журналів файлів, переваг розслідування журналів подій та також пропонує практичний посібник по дослідженню журналів подій Windows, використовуючи силу Event Log Explorer.

Тепер давайте розпочнемо з розуміння журналів подій, визначивши два ключові слова, які складають концепцію ЖУРНАЛУ ПОДІЙ.

Подія

Подія — це будь-яка значуща подія чи дія, що відбувається в межах системи, програми чи мережі. Це може бути дія користувача (наприклад, вхід в систему), дія системи (наприклад, запуск процесу) або помилка.

Журнал

Журнал — це запис колекції подій, що сталися в межах системи, програми чи служби. Він слугує як хронологічна історія або журнал дій та інцидентів, надаючи цінні дані для моніторингу, усунення неполадок та аналізу.

Оскільки подія є виникненням, а журнал — це запис цього виникнення. Об’єднавши ці два поняття, давайте чітко визначимо журнал подій:

Журнал подій — це запис діяльності, помилок та змін, які відбуваються на комп’ютері чи системі, який можна використовувати для моніторингу та усунення неполадок операцій чи питань безпеки. Він служить як доказ для підтвердження або спростування дій, виконаних користувачами чи системами. Ці журнали допомагають аналітикам кібербезпеки моніторити, аналізувати та розслідувати події для оцінки ефективності системи, порушень безпеки та активності користувачів.

Різні типи файлів журналів подій

  • Журнали застосунків: Події, записані програмами.
  • Журнали безпеки: Містять інформацію про аудити, такі як спроби входу та доступ до конфіденційних файлів. Це корисно для відстеження несанкціонованого доступу та забезпечення незаперечності.
  • Системні журнали: Містять події, згенеровані компонентами операційної системи, такі як збої апаратного забезпечення, проблеми з драйверами або перезавантаження системи. Це корисно для діагностики продуктивності та стабільності системи.
  • Журнали налаштувань: Документують події під час процесів установки програм або систем. Надають відомості про успішні установки чи помилки, що виникли під час налаштування.
  • Переслані події: Агрегують журнали, зібрані з інших систем або віддалених пристроїв.

Невелике завдання для вас: Відкрийте панель пошуку та введіть "Event", з’явиться додаток Event Viewer. Відкрийте додаток EVENT VIEWER, який попередньо встановлений у Windows, і ви побачите всі типи файлів журналів, згаданих вище, відкрийте кожен з них, щоб ознайомитися з ними. Потрібна додаткова допомога? Читайте далі

pic

Різні файли журналів, як видно в середовищі Event Viewer

Виберіть Windows Logs, відкрийте файл журналу додатка

pic

Файл журналу додатка, що показує різні події

Виберіть файл журналу безпеки

pic

Тепер виконайте це для всіх журналів, це ще більше покращить ваше розуміння різних подій, захоплених у різних журналах, разом з вищезгаданим поясненням.

Переваги дослідження журналів подій

  1. Журнали подій допомагають виявити зловмисну діяльність, таку як несанкціонований доступ, ескалація привілеїв або виконання шкідливого програмного забезпечення. Наприклад, різкий сплеск невдалих спроб входу або незвичайні зміни файлів можуть сигналізувати про потенційну атаку.
  2. Журнали подій служать доказом для підтвердження або спростування дій, виконаних користувачами чи системами (Незаперечність). Наприклад, доступ до конкретного файлу фіксується з часовими мітками та інформацією про користувача, що означає, що користувач не може заперечувати, що він виконував певні дії.
    3.

Перекладено з: INVESTIGATING WINDOWS EVENT LOG FOR HIDDEN ACTIVITIES

Вам також може сподобатися

Доступ до Kubernetes Pod і Service за допомогою curl
CTF Cap на HTB: Експлуатація IDOR і ескалація привілеїв за допомогою можливостей Python
Flask: Реалізація cookies

Leave a Reply

Your email address will not be published. Required fields are marked *