Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
|
racfor_wiki:seminari2024:analiza_sysmon_logova [2025/01/02 14:56] Sokol Nina [Mogućnosti Sysmon logova] |
racfor_wiki:seminari2024:analiza_sysmon_logova [2025/01/18 19:25] (trenutno) Sokol Nina [Analiza Sysmon logova pomoću PowerShella] |
||
|---|---|---|---|
| Redak 1: | Redak 1: | ||
| ===== Analiza Sysmon logova ===== | ===== Analiza Sysmon logova ===== | ||
| + | |||
| + | [[https:// | ||
| ===== Sažetak ===== | ===== Sažetak ===== | ||
| Redak 30: | Redak 32: | ||
| Primarno je namijenjen organizacijama kao jedno od rješenja za praćenje događaja u sustavu te timovima koji se bave detekcijom i obranom od kibernetičkih napada jer omogućava da analizom Sysmon logova oni otkriju koji od se događaja koje je Sysmon zabilježio odnose na napadača te kako su oni međusobno povezani. Ni na koji način se ne prikriva od napadača [[racfor_wiki: | Primarno je namijenjen organizacijama kao jedno od rješenja za praćenje događaja u sustavu te timovima koji se bave detekcijom i obranom od kibernetičkih napada jer omogućava da analizom Sysmon logova oni otkriju koji od se događaja koje je Sysmon zabilježio odnose na napadača te kako su oni međusobno povezani. Ni na koji način se ne prikriva od napadača [[racfor_wiki: | ||
| - | Događaji koje je Sysmon zabilježio se pohranjuju na lokaciji \\ '' | + | Događaji koje je Sysmon zabilježio se pohranjuju na lokaciji \\ '' |
| ===== Mogućnosti Sysmon logova ===== | ===== Mogućnosti Sysmon logova ===== | ||
| Redak 103: | Redak 105: | ||
| ===== Instalacija i konfiguracija ===== | ===== Instalacija i konfiguracija ===== | ||
| - | Sysmon nije uključen po zadanim postavkama već ga je potrebno instalirati. Upute za instalaciju se nalaze na [[racfor_wiki: | + | Sysmon nije uključen po zadanim postavkama već ga je potrebno instalirati. Upute za instalaciju se nalaze na [[racfor_wiki: |
| - | Primjer jedne jednostavne konfiguracijske datoteke dan je u nastavku. Ova datoteka prikuplja sve hasheve, upravljačke programe koji ne pripadaju Windowsu ili Microsoftu i mrežne konekcije koje se spajaju na portove 443 ili 80, a ne dolaze od Internet Explorera. Ne bilježi završetke procesa. Više o konfiguracijskim datotekama i načinima na koje se pišu pravila može se pronaći na [[racfor_wiki: | + | Primjer jedne jednostavne konfiguracijske datoteke dan je u nastavku. Ova datoteka prikuplja sve hasheve, upravljačke programe koji ne pripadaju Windowsu ili Microsoftu i mrežne konekcije koje se spajaju na portove 443 ili 80, a ne dolaze od Internet Explorera. Ne bilježi završetke procesa. Više o konfiguracijskim datotekama i načinima na koje se pišu pravila može se pronaći na [[racfor_wiki: |
| < | < | ||
| Redak 135: | Redak 137: | ||
| </ | </ | ||
| - | Primjer 3. Jednostavna konfiguracijska datoteka | + | Primjer 3. Jednostavna konfiguracijska datoteka |
| ===== Sysmon event logovi ===== | ===== Sysmon event logovi ===== | ||
| Redak 143: | Redak 145: | ||
| {{: | {{: | ||
| - | Slika 1. Pregled različitih informacija koje prikupljaju Sysmon logovi [[racfor_wiki: | + | Slika 1. Pregled različitih informacija koje prikupljaju Sysmon logovi [[racfor_wiki: |
| ==== Pregled event ID-ja ==== | ==== Pregled event ID-ja ==== | ||
| Redak 153: | Redak 155: | ||
| | 1 | Process creation | | 1 | Process creation | ||
| | 2 | A process changed a file creation time | Budući da napadači često mijenjaju vrijeme kreiranja zlonamjernog procesa kako bi prikrili njegovo djelovanje, bilježenje događaja u kojima proces mijenja vrijeme stvaranja neke datoteke pomaže računalnim forenzičarima pratiti stvarno vrijeme stvaranja datoteke. | | | 2 | A process changed a file creation time | Budući da napadači često mijenjaju vrijeme kreiranja zlonamjernog procesa kako bi prikrili njegovo djelovanje, bilježenje događaja u kojima proces mijenja vrijeme stvaranja neke datoteke pomaže računalnim forenzičarima pratiti stvarno vrijeme stvaranja datoteke. | | ||
| - | | 3 | Network connection | + | | 3 | Network connection |
| | 4 | Sysmon service state changed | | 4 | Sysmon service state changed | ||
| | 5 | Process terminated | | 5 | Process terminated | ||
| Redak 169: | Redak 171: | ||
| | 17 | PipeEvent (Pipe Created) | | 17 | PipeEvent (Pipe Created) | ||
| | 18 | PipeEvent (Pipe Connected) | | 18 | PipeEvent (Pipe Connected) | ||
| - | | 19 | WmiEvent (WmiEventFilter activity detected) | + | | 19 | WmiEvent (WmiEventFilter activity detected) |
| | 20 | WmiEvent (WmiEventConsumer activity detected) | | 20 | WmiEvent (WmiEventConsumer activity detected) | ||
| | 21 | WmiEvent (WmiEventConsumerToFilter activity detected) | | 21 | WmiEvent (WmiEventConsumerToFilter activity detected) | ||
| | 22 | DNSEvent (DNS query) | | 22 | DNSEvent (DNS query) | ||
| - | | 23 | FileDelete (File Delete archived) | + | | 23 | FileDelete (File Delete archived) |
| | 24 | ClipboardChange (New content in the clipboard) | | 24 | ClipboardChange (New content in the clipboard) | ||
| | 25 | ProcessTampering (Process image change) | | 25 | ProcessTampering (Process image change) | ||
| Redak 183: | Redak 185: | ||
| ==== Primjer polja koje bilježi Sysmon log s event ID-jem 2 ==== | ==== Primjer polja koje bilježi Sysmon log s event ID-jem 2 ==== | ||
| - | Svaki Sysmon event log prikazuje različita polja s prikupljenim informacijama, | + | Svaki Sysmon event log prikazuje različita polja s prikupljenim informacijama, |
| * **UtcTime** – vrijeme kreiranja događaja u UTC formatu | * **UtcTime** – vrijeme kreiranja događaja u UTC formatu | ||
| Redak 202: | Redak 204: | ||
| Najčešće se koristi u kombinaciji sa SIEM sustavom poput Splunka, ali je analiza moguća i s pomoću drugih alata poput Windows Event Viewera te PowerShella. U nastavku će biti prikazano kako se Sysmon logovi mogu analizirati s pomoću SIEM sustava, Windows Event Viewera te PowerShella. | Najčešće se koristi u kombinaciji sa SIEM sustavom poput Splunka, ali je analiza moguća i s pomoću drugih alata poput Windows Event Viewera te PowerShella. U nastavku će biti prikazano kako se Sysmon logovi mogu analizirati s pomoću SIEM sustava, Windows Event Viewera te PowerShella. | ||
| - | ==== Analiza Sysmon logova pomoću SIEM sustava ==== | + | ==== Analiza Sysmon logova |
| - | Nakon što Sysmon prikupi logove moguće ih je proslijediti SIEM sustavu poput Splunka gdje se onda prikupljeni logovi analiziraju unutar Splunk konzole. Bitno je napomenuti da će ovdje biti predstavljen samo mali dio mogućnosti koje Splunk nudi. Više informacija o Splunku i kako ga iskoristiti za analizu logova općenito dostupno je na [[racfor_wiki: | + | Nakon što Sysmon prikupi logove moguće ih je proslijediti SIEM sustavu poput Splunka gdje se onda prikupljeni logovi analiziraju unutar Splunk konzole. Bitno je napomenuti da će ovdje biti predstavljen samo mali dio mogućnosti koje Splunk nudi. Više informacija o Splunku i kako ga iskoristiti za analizu logova općenito dostupno je na [[racfor_wiki: |
| {{ : | {{ : | ||
| - | Slika 2. Primjer korištenja Splunka za analizu Sysmon logova [[racfor_wiki: | + | Slika 2. Primjer korištenja Splunka za analizu Sysmon logova [[racfor_wiki: |
| - | Primjer upita koji će nam vratiti Sysmon logove koji se odnose na novostvorene procese dan je u nastavku. Potrebno je definirati mjesto na kojem se nalaze Sysmon | + | Primjer upita koji će nam vratiti Sysmon logove koji se odnose na novostvorene procese dan je u nastavku. Potrebno je definirati mjesto na kojem se nalaze Sysmon |
| < | < | ||
| Redak 220: | Redak 222: | ||
| </ | </ | ||
| - | ==== Analiza Sysmon logova pomoću Event Viewera ==== | + | ==== Analiza Sysmon logova |
| - | Windows Event Viewer dolazi s Windows operacijskim sustavom te ga nije potrebno dodatno podešavati i konfigurirati kako bi skupljao i nudio mogućnost analize logova. Nakon instalacije Sysmona logovi će se bilježiti unutar Event Viewera te ih je moguće tamo analizirati. Analiza se najčešće radi filtriranjem logova prema zadanom event ID-ju ili pretragom po ključnim riječima. | + | Windows Event Viewer dolazi s Windows operacijskim sustavom te ga nije potrebno dodatno podešavati i konfigurirati kako bi skupljao i nudio mogućnost analize logova. Nakon instalacije Sysmona, logovi će se bilježiti unutar Event Viewera te ih je moguće tamo analizirati. Analiza se najčešće radi filtriranjem logova prema zadanom event ID-ju ili pretragom po ključnim riječima. |
| Slika 3 prikazuje kako izgledaju zabilježeni logovi u Event Vieweru. Budući da je obično zabilježena velika količina logova, potrebno ih je filtrirati ovisno o event ID-ju ili ključnim riječima kako bismo izdvojili samo logove koji su nam zanimljivi te iz kojih želimo izvući informacije potrebne za daljnju analizu. | Slika 3 prikazuje kako izgledaju zabilježeni logovi u Event Vieweru. Budući da je obično zabilježena velika količina logova, potrebno ih je filtrirati ovisno o event ID-ju ili ključnim riječima kako bismo izdvojili samo logove koji su nam zanimljivi te iz kojih želimo izvući informacije potrebne za daljnju analizu. | ||
| Možemo primijetiti da je ručna analiza logova s pomoću Event Viewera nešto zahtjevnija nego analiza upotrebom Splunka. Puno je jednostavnije pisati upite kojima filtriramo logove nego koristiti prozor za filtriranje koji nudi Event Viewer (Slika 4) te nam Splunk daje puno pregledniji pogled na filtrirane logove. | Možemo primijetiti da je ručna analiza logova s pomoću Event Viewera nešto zahtjevnija nego analiza upotrebom Splunka. Puno je jednostavnije pisati upite kojima filtriramo logove nego koristiti prozor za filtriranje koji nudi Event Viewer (Slika 4) te nam Splunk daje puno pregledniji pogled na filtrirane logove. | ||
| Redak 228: | Redak 230: | ||
| {{ : | {{ : | ||
| - | Slika 3. Sysmon logovi u Event Vieweru [[racfor_wiki: | + | Slika 3. Sysmon logovi u Event Vieweru [[racfor_wiki: |
| {{ : | {{ : | ||
| - | Slika 4. Prozor za filtriranje logova u Event Vieweru [[racfor_wiki: | + | Slika 4. Prozor za filtriranje logova u Event Vieweru [[racfor_wiki: |
| - | ==== Analiza Sysmon logova pomoću PowerShella ==== | + | ==== Analiza Sysmon logova |
| Analiza Sysmon logova s pomoću PowerShella nudi nam mogućnost da automatiziramo analizu Sysmon logova. Ovo predstavlja prednost pred Event Viewerom jer možemo napisati kratke PowerShell skripte koje će nam izdvojiti zanimljive logove koje želimo detaljnije istražiti. Izdvojene logove je onda moguće parsirati upotrebom jednostavnih skripti kako bi izdvojili vrijednosti svakog polja unutar nekog loga. Na kraju je moguće puno jednostavnije pretraživati ključne riječi koje će nas dovesti do logova koji su zabilježili zlonamjerne aktivnosti. | Analiza Sysmon logova s pomoću PowerShella nudi nam mogućnost da automatiziramo analizu Sysmon logova. Ovo predstavlja prednost pred Event Viewerom jer možemo napisati kratke PowerShell skripte koje će nam izdvojiti zanimljive logove koje želimo detaljnije istražiti. Izdvojene logove je onda moguće parsirati upotrebom jednostavnih skripti kako bi izdvojili vrijednosti svakog polja unutar nekog loga. Na kraju je moguće puno jednostavnije pretraživati ključne riječi koje će nas dovesti do logova koji su zabilježili zlonamjerne aktivnosti. | ||
| - | Kako bi došli do Sysmon logova potrebno je koristiti Get-WinEvent cmdlet unutar | + | Kako bi došli do Sysmon logova potrebno je koristiti Get-WinEvent cmdlet unutar |
| < | < | ||
| Redak 243: | Redak 245: | ||
| </ | </ | ||
| - | Svi izdvojeni logovi se nalaze u varijabli | + | Svi izdvojeni logovi se nalaze u varijabli |
| ===== Primjer analize Sysmon logova ===== | ===== Primjer analize Sysmon logova ===== | ||
| - | Za kraj prikazat ćemo primjer jednog scenarija u kojem se analizom Sysmon logova želi otkriti koja datoteka je omogućila napadaču pristup sustavu. Predstavljeni primjer je dio Blue Team Labs izazova čije detaljno rješavanje je opisano | + | Za kraj prikazat ćemo primjer jednog scenarija u kojem se analizom Sysmon logova želi otkriti koja datoteka je omogućila napadaču pristup sustavu. Predstavljeni primjer je dio Blue Team Labs izazova čije detaljno rješavanje je opisano |
| Sumnjamo da je napadač preuzeo zlonamjernu datoteku koristeći PowerShell cmdlet pa analizu Sysmon logova započinjemo pretraživanjem ključne riječi PowerShell. Pretragu možemo napraviti unutar PowerShella ili Event Viewera. Primjećujemo da je zabilježeno nekoliko logova u kojima su izvršene sumnjive PowerShell naredbe među kojima je i naredba koja koristi Invoke-Webrequest cmdlet kojim se preuzima datoteka supply.exe s IP adrese 192.168.1.11. Budući da smo zabilježili sumnjivu IP adresu, dalje pretragu nastavljamo tražeći log koji je prvi zabilježio ovu sumnjivu IP adresu kako bismo saznali kada napadač počinje komunicirati sa sustavom. | Sumnjamo da je napadač preuzeo zlonamjernu datoteku koristeći PowerShell cmdlet pa analizu Sysmon logova započinjemo pretraživanjem ključne riječi PowerShell. Pretragu možemo napraviti unutar PowerShella ili Event Viewera. Primjećujemo da je zabilježeno nekoliko logova u kojima su izvršene sumnjive PowerShell naredbe među kojima je i naredba koja koristi Invoke-Webrequest cmdlet kojim se preuzima datoteka supply.exe s IP adrese 192.168.1.11. Budući da smo zabilježili sumnjivu IP adresu, dalje pretragu nastavljamo tražeći log koji je prvi zabilježio ovu sumnjivu IP adresu kako bismo saznali kada napadač počinje komunicirati sa sustavom. | ||
| Redak 283: | Redak 285: | ||
| </ | </ | ||
| - | Primjer 4. Sysmon log koji je zabilježio prvu komunikaciju sa sumnjive IP adrese [[racfor_wiki: | + | Primjer 4. Sysmon log koji je zabilježio prvu komunikaciju sa sumnjive IP adrese [[racfor_wiki: |
| Ovdje je prikazan samo mali dio analize logova, kako bi se saznalo više informacija o napadaču i do kojih dijelova sustava je uspio doći potrebno je nastaviti analizu logova na gore opisan način. | Ovdje je prikazan samo mali dio analize logova, kako bi se saznalo više informacija o napadaču i do kojih dijelova sustava je uspio doći potrebno je nastaviti analizu logova na gore opisan način. | ||
| Redak 313: | Redak 315: | ||
| [7] [[https:// | [7] [[https:// | ||
| - | [8] [[https:// | + | [8] [[https:// |
| + | |||
| + | [9] [[https:// | ||
| - | [9] [[https:// | + | [10] [[https:// |
| - | [10] [[https:// | + | [11] [[https:// |
| - | [11] [[https:// | + | [12] [[https:// |
| - | [12] [[https:// | + | [13] [[https:// |
| - | [13] [[https:// | + | [14] [[https:// |
| - | [14] [[https:// | + | [15] [[https:// |
| - | [15] [[https:// | + | [16] [[https:// |
| - | [16] [[https://mdockry.medium.com/btlo-log-analysis-sysmon-3e040566f198|M. Dockry, "BTLO-Log | + | [17] [[https://www.varonis.com/blog/sysmon-threat-detection-guide|M. Buckbee, "Sysmon Threat |
| - | [17] [[https://www.ultimatewindowssecurity.com/securitylog/ | + | [18] [[https://mdockry.medium.com/btlo-log-analysis-sysmon-3e040566f198|M. Dockry, "BTLO-Log Analysis Sysmon," |
| - | [18] [[https:// | ||