Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2024:analiza_sysmon_logova [2025/01/02 16:00]
Sokol Nina [Analiza Sysmon logova pomoću PowerShella] 		racfor_wiki:seminari2024:analiza_sysmon_logova [2025/01/18 19:25] (trenutno)
Sokol Nina [Analiza Sysmon logova pomoću PowerShella]
Redak 1: Redak 1:
 ===== Analiza Sysmon logova ===== ===== Analiza Sysmon logova =====
 +
 +[[https://ferhr-my.sharepoint.com/:v:/g/personal/ns53178_fer_hr/Ee0YxhF5lvpGrX8IHJnk7B0BTZNjymgwzbOV-4-BvwGh7w?nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJPbmVEcml2ZUZvckJ1c2luZXNzIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXciLCJyZWZlcnJhbFZpZXciOiJNeUZpbGVzTGlua0NvcHkifX0&e=bEFahU| Video prezentacija]]
  
 ===== Sažetak ===== ===== Sažetak =====
Redak 183: Redak 185:
 ==== Primjer polja koje bilježi Sysmon log s event ID-jem 2 ==== ==== Primjer polja koje bilježi Sysmon log s event ID-jem 2 ====
  
-Svaki Sysmon event log prikazuje različita polja s prikupljenim informacijama, ovisno o tome koje informacije su bitne za ono što log prikuplja. Detaljan pregled polja koja se bilježe za pojedini event ID dostupan je na [[racfor_wiki:seminari2024:analiza_sysmon_logova#Literatura|[14]]]. U nastavku je dan primjer polja koje prikuplja System log s Event ID-jem 2 koji bilježi informacije o promjeni vremena stvaranja datoteke koju je napravio neki proces:+Svaki Sysmon event log prikazuje različita polja s prikupljenim informacijama, ovisno o tome koje informacije su bitne za ono što log prikuplja. Detaljan pregled polja koja se bilježe za pojedini event ID dostupan je na [[racfor_wiki:seminari2024:analiza_sysmon_logova#Literatura|[14]]]. U nastavku je dan primjer polja koje prikuplja Sysmon log s Event ID-jem 2 koji bilježi informacije o promjeni vremena stvaranja datoteke koju je napravio neki proces:
  
   * **UtcTime** – vrijeme kreiranja događaja u UTC formatu   * **UtcTime** – vrijeme kreiranja događaja u UTC formatu
Redak 202: Redak 204:
 Najčešće se koristi u kombinaciji sa SIEM sustavom poput Splunka, ali je analiza moguća i s pomoću drugih alata poput Windows Event Viewera te PowerShella. U nastavku će biti prikazano kako se Sysmon logovi mogu analizirati s pomoću SIEM sustava, Windows Event Viewera te PowerShella. Najčešće se koristi u kombinaciji sa SIEM sustavom poput Splunka, ali je analiza moguća i s pomoću drugih alata poput Windows Event Viewera te PowerShella. U nastavku će biti prikazano kako se Sysmon logovi mogu analizirati s pomoću SIEM sustava, Windows Event Viewera te PowerShella.
  
-==== Analiza Sysmon logova pomoću SIEM sustava ====+==== Analiza Sysmon logova pomoću SIEM sustava ====
  
 Nakon što Sysmon prikupi logove moguće ih je proslijediti SIEM sustavu poput Splunka gdje se onda prikupljeni logovi analiziraju unutar Splunk konzole. Bitno je napomenuti da će ovdje biti predstavljen samo mali dio mogućnosti koje Splunk nudi. Više informacija o Splunku i kako ga iskoristiti za analizu logova općenito dostupno je na [[racfor_wiki:seminari2024:analiza_sysmon_logova#Literatura|[15]]]. Prednosti Splunka su što nudi velik broj mogućnosti kada je u pitanju analiza logova te može istovremeno raditi analizu više vrsta logova koji su proslijeđeni Splunk serveru. Nedostatak je to što je to komercijalni alat te zahtijeva određenu infrastrukturu i podešavanja prije nego je moguća analiza Sysmon logova. Slika 2 prikazuje kako izgleda Splunk konzola za analizu logova. Najprije je potrebno upisati Splunk Query prema kojem će se logovi filtrirati kako bismo izdvojili samo one logove koje želimo analizirati. Nakon toga je potrebno odabrati vremenski raspon u kojem želimo primijeniti upit. Splunk će nam nakon toga izlistati Sysmon logove koji odgovaraju zadanom upitu nakon čega možemo pregledavati polja unutar tih upita kako bi saznali korisne informacije te napisali nove upite koji ih koriste ili prilagodili trenutačni upit kako bi smanjili broj logova koje promatramo.  Nakon što Sysmon prikupi logove moguće ih je proslijediti SIEM sustavu poput Splunka gdje se onda prikupljeni logovi analiziraju unutar Splunk konzole. Bitno je napomenuti da će ovdje biti predstavljen samo mali dio mogućnosti koje Splunk nudi. Više informacija o Splunku i kako ga iskoristiti za analizu logova općenito dostupno je na [[racfor_wiki:seminari2024:analiza_sysmon_logova#Literatura|[15]]]. Prednosti Splunka su što nudi velik broj mogućnosti kada je u pitanju analiza logova te može istovremeno raditi analizu više vrsta logova koji su proslijeđeni Splunk serveru. Nedostatak je to što je to komercijalni alat te zahtijeva određenu infrastrukturu i podešavanja prije nego je moguća analiza Sysmon logova. Slika 2 prikazuje kako izgleda Splunk konzola za analizu logova. Najprije je potrebno upisati Splunk Query prema kojem će se logovi filtrirati kako bismo izdvojili samo one logove koje želimo analizirati. Nakon toga je potrebno odabrati vremenski raspon u kojem želimo primijeniti upit. Splunk će nam nakon toga izlistati Sysmon logove koji odgovaraju zadanom upitu nakon čega možemo pregledavati polja unutar tih upita kako bi saznali korisne informacije te napisali nove upite koji ih koriste ili prilagodili trenutačni upit kako bi smanjili broj logova koje promatramo. 
Redak 212: Redak 214:
  
  
-Primjer upita koji će nam vratiti Sysmon logove koji se odnose na novostvorene procese dan je u nastavku. Potrebno je definirati mjesto na kojem se nalaze Sysmon logove te event ID koji promatramo. Budući da ''NT AUTHORITY\\SYSTEM'' stvara veliki broj procesa, logovi koji se odnose na njega neće biti prikazani.+Primjer upita koji će nam vratiti Sysmon logove koji se odnose na novostvorene procese dan je u nastavku. Potrebno je definirati mjesto na kojem se nalaze Sysmon logovi te event ID koji promatramo. Budući da ''NT AUTHORITY\\SYSTEM'' stvara veliki broj procesa, logovi koji se odnose na njega neće biti prikazani.
  
 <code> <code>
Redak 220: Redak 222:
 </code> </code>
  
-==== Analiza Sysmon logova pomoću Event Viewera ====+==== Analiza Sysmon logova pomoću Event Viewera ====
  
 Windows Event Viewer dolazi s Windows operacijskim sustavom te ga nije potrebno dodatno podešavati i konfigurirati kako bi skupljao i nudio mogućnost analize logova. Nakon instalacije Sysmona, logovi će se bilježiti unutar Event Viewera te ih je moguće tamo analizirati. Analiza se najčešće radi filtriranjem logova prema zadanom event ID-ju ili pretragom po ključnim riječima.  Windows Event Viewer dolazi s Windows operacijskim sustavom te ga nije potrebno dodatno podešavati i konfigurirati kako bi skupljao i nudio mogućnost analize logova. Nakon instalacije Sysmona, logovi će se bilježiti unutar Event Viewera te ih je moguće tamo analizirati. Analiza se najčešće radi filtriranjem logova prema zadanom event ID-ju ili pretragom po ključnim riječima. 
Redak 233: Redak 235:
  
 Slika 4. Prozor za filtriranje logova u Event Vieweru [[racfor_wiki:seminari2024:analiza_sysmon_logova# Literatura|[12]]] Slika 4. Prozor za filtriranje logova u Event Vieweru [[racfor_wiki:seminari2024:analiza_sysmon_logova# Literatura|[12]]]
-==== Analiza Sysmon logova pomoću PowerShella ====+==== Analiza Sysmon logova pomoću PowerShella ====
  
 Analiza Sysmon logova s pomoću PowerShella nudi nam mogućnost da automatiziramo analizu Sysmon logova. Ovo predstavlja prednost pred Event Viewerom jer možemo napisati kratke PowerShell skripte koje će nam izdvojiti zanimljive logove koje želimo detaljnije istražiti. Izdvojene logove je onda moguće parsirati upotrebom jednostavnih skripti kako bi izdvojili vrijednosti svakog polja unutar nekog loga. Na kraju je moguće puno jednostavnije pretraživati ključne riječi koje će nas dovesti do logova koji su zabilježili zlonamjerne aktivnosti.  Analiza Sysmon logova s pomoću PowerShella nudi nam mogućnost da automatiziramo analizu Sysmon logova. Ovo predstavlja prednost pred Event Viewerom jer možemo napisati kratke PowerShell skripte koje će nam izdvojiti zanimljive logove koje želimo detaljnije istražiti. Izdvojene logove je onda moguće parsirati upotrebom jednostavnih skripti kako bi izdvojili vrijednosti svakog polja unutar nekog loga. Na kraju je moguće puno jednostavnije pretraživati ključne riječi koje će nas dovesti do logova koji su zabilježili zlonamjerne aktivnosti. 
Redak 243: Redak 245:
 </code> </code>
  
-Svi izdvojeni logovi se nalaze u varijabli eventu odakle se mogu dodatno parsirati i pretraživati kako bi se uočile zlonamjerne aktivnosti u sustavu. Više o tome kako se logovi mogu dalje parsirati te čak i grafički prikazati dostupno je na [[racfor_wiki:seminari2024:analiza_sysmon_logova#Literatura|[17]]].+Svi izdvojeni logovi se nalaze u varijabli events odakle se mogu dodatno parsirati i pretraživati kako bi se uočile zlonamjerne aktivnosti u sustavu. Više o tome kako se logovi mogu dalje parsirati te čak i grafički prikazati dostupno je na [[racfor_wiki:seminari2024:analiza_sysmon_logova#Literatura|[17]]].
  
 ===== Primjer analize Sysmon logova ===== ===== Primjer analize Sysmon logova =====
  
  
-Za kraj prikazat ćemo primjer jednog scenarija u kojem se analizom Sysmon logova želi otkriti koja datoteka je omogućila napadaču pristup sustavu. Predstavljeni primjer je dio Blue Team Labs izazova čije detaljno rješavanje je opisano na [[racfor_wiki:seminari2024:analiza_sysmon_logova#Literatura|[18]]].+Za kraj prikazat ćemo primjer jednog scenarija u kojem se analizom Sysmon logova želi otkriti koja datoteka je omogućila napadaču pristup sustavu. Predstavljeni primjer je dio Blue Team Labs izazova čije detaljno rješavanje je opisano [[racfor_wiki:seminari2024:analiza_sysmon_logova#Literatura|[18]]].
  
 Sumnjamo da je napadač preuzeo zlonamjernu datoteku koristeći PowerShell cmdlet pa analizu Sysmon logova započinjemo pretraživanjem ključne riječi PowerShell. Pretragu možemo napraviti unutar PowerShella ili Event Viewera. Primjećujemo da je zabilježeno nekoliko logova u kojima su izvršene sumnjive PowerShell naredbe među kojima je i naredba koja koristi Invoke-Webrequest cmdlet kojim se preuzima datoteka supply.exe s IP adrese 192.168.1.11. Budući da smo zabilježili sumnjivu IP adresu, dalje pretragu nastavljamo tražeći log koji je prvi zabilježio ovu sumnjivu IP adresu kako bismo saznali kada napadač počinje komunicirati sa sustavom. Sumnjamo da je napadač preuzeo zlonamjernu datoteku koristeći PowerShell cmdlet pa analizu Sysmon logova započinjemo pretraživanjem ključne riječi PowerShell. Pretragu možemo napraviti unutar PowerShella ili Event Viewera. Primjećujemo da je zabilježeno nekoliko logova u kojima su izvršene sumnjive PowerShell naredbe među kojima je i naredba koja koristi Invoke-Webrequest cmdlet kojim se preuzima datoteka supply.exe s IP adrese 192.168.1.11. Budući da smo zabilježili sumnjivu IP adresu, dalje pretragu nastavljamo tražeći log koji je prvi zabilježio ovu sumnjivu IP adresu kako bismo saznali kada napadač počinje komunicirati sa sustavom.
racfor_wiki/seminari2024/analiza_sysmon_logova.1735833650.txt.gz · Zadnja izmjena: 2025/01/02 16:00 od Sokol Nina
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0