ស្វែងយល់ឱ្យស៊ីជ្រៅដើម្បីយល់ដឹងអំពី Windows Event logs សម្រាប់មជ្ឈមណ្ឌលប្រតិបត្តិការសន្តិសុខអ៊ីនធឺណិត

December 27, 2018

មជ្ឈមណ្ឌលប្រតិបត្ដិការសន្តិសុខអ៊ីនធឺណិតកំពុងការពារអង្គការ និងទិន្នន័យអាជីវកម្មដែលងាយរងគ្រោះរបស់អតិថិជន។ មជ្ឈមណ្ឌលនេះធានានូវការឃ្លាំមើលយ៉ាងសកម្មចំពោះទ្រព្យ សម្បត្តិដ៏មានតម្លៃរបស់អាជីវកម្ម និងផ្តល់ការដាស់តឿន និងការស៊ើបអង្កេតពីការគំរាម កំហែង និងវិធីសាស្ត្រគ្រប់គ្រងហានិភ័យ។ សេវាកម្មវិភាគអាចជាសេវាសុវត្ថិភាពនៅផ្ទះឬគ្រប់គ្រងសេវាសុវត្ថិភាព។ ការប្រមូលកំណត់ត្រាព្រឹត្តការណ៍ និងការវិភាគកំណត់ហេតុជាមួយនឹងការវាយ ប្រហារពិតប្រាកដ គឺជាបេះដូងនៃការងាររបស់មជ្ឈមណ្ឌលប្រតិបត្តិការសន្តិសុខ។

ព្រឹត្តិការណ៍ – មជ្ឈមណ្ឌលប្រតិបត្តិការសន្តិសុខ ព្រឹត្តិការណ៍ត្រូវគេបង្កើតឡើងដោយប្រព័ន្ធដែលជាកូដដែលមានបញ្ហា ឧបករណ៍ដែលបង្កើត ព្រឹត្តិការណ៍ទទួលជោគជ័យ ឬបរាជ័យក្នុងមុខងារធម្មតារបស់វា។ logging ដើរតួនាទីយ៉ាងសំខាន់ក្នុងការរកឃើញការគំរាមកំហែង។ នៅក្នុងអង្គការមានលេខចំនួនច្រើន និងស្ថានភាពរបស់ Windows, Linux, firewalls, IDS, IPS, Proxy, Netflow, ODBC, AWS, Vmware។

ឧបករណ៍ទាំងនេះជាធម្មតាតាមដានការវាយលុករបស់អ្នកវាយប្រហារដែលជាកំណត់ហេតុ និងបញ្ជូនទៅឧបករណ៍ SIEM ដើម្បីវិភាគ។ ក្នុងអត្ថបទនេះនឹងឃើញរបៀបដែលព្រឹត្តិការណ៍ ត្រូវគេជំរុញទៅឱ្យ log collector ។

Log Collector

វាជាម៉ាស៊ីនបម្រើកណ្តាលដើម្បីទទួលកំណត់ហេតុ logs ពីឧបករណ៍ណាមួយ។ នៅទីនេះ មាការដាក់ពង្រាយភ្នាក់ងារ Snare នៅក្នុងម៉ាស៊ី Windows 10។ ដូច្នេះគេនឹងប្រមូលកំណត់ ហេតុព្រឹត្តការណ៍របស់ windows 10 និងរកឃើញការវាយប្រហារ ទៅនឹងការវាយប្រហារ ដោយម៉ាស៊ីនកុំព្យូទ័រ windows 10 ដោយប្រើភ្នាក់ងារ Snare ។ អន្ទាក់នេះគឺ SIEM (ដំណោះស្រាយបញ្ហានិងការគ្រប់គ្រងព្រឹត្តិការណ៍) ដំណោះស្រាយសម្រាប់ log collector និងអ្នកវិភាគព្រឹត្តិការណ៍នៅក្នុងប្រព័ន្ធប្រតិបត្តិការផ្សេងៗមាន Windows, Linux, OSX Apple និងគាំទ្រភ្នាក់ងារមូលដ្ឋានទិន្នន័យដំណើរការដោយព្រឹត្តិការណ៍ MSSQL ដែលបង្កើតដោយ Microsoft SQL Server ។ វាគាំទ្រទាំងសហគ្រាស និងប្រភពបើកចំហ។

ការតម្លើង Snare

ចំពោះគោលបំណងនៃការសាកល្បង គេមិនប្រើប្រាស់អត្តសញ្ញាណទេ ប៉ុន្តែវាតែងតែផ្ដល់អនុសាសន៍អោយប្រើពាក្យសម្ងាត់រឹងមាំដើម្បីការពារកំណត់ហេតុដោយគ្មានការលេចធ្លាយ។

Snare Web interface:-

តាមលំនាំដើម, snare នឹងដំណើរការនៅច្រក 6161

ច្រកចៃដន្យមួយក៏អាចត្រូវគេជ្រើសរើសជាមួយនឹងពិធីការ TCP ឬ UDP ឬ TLS / SSL ។
Snare នឹងស្នើសុំព័ត៌មានសម្ងាត់ដើម្បីចូល។ នៅទីនេះខ្ញុំមិនផ្តល់ការបញ្ជាក់អត្តសញ្ញាណទេ។
រូបភាពខាងក្រោមបង្ហាញពីភាពជោគជ័យក្នុងការដំឡើងរបស់ភ្នាក់ងារ snare និងផ្តល់ព័ត៌មានលំអិតបន្ថែមទៀតនៅលើអេក្រង់។

ការកំណត់រចនាសម្ព័ន្ធទិសដៅបណ្ដាញនិងឯកសារ

windows 10 ចាប់ផ្តើមផ្ញើកំណត់ហេតុព្រឹត្តិការណ៍ទៅកុងសូល Snare ។
កុងសូល Snare កំពុងរត់នៅម៉ាស៊ីនមូលដ្ឋាននិងការប្រមូលកំណត់ហេតុពីម៉ាស៊ីន windows ។

ចំណាំ: កំណត់ហេតុ (Logs ) អាចត្រូវគេផ្ញើទៅកាន់ម៉ាស៊ីនបម្រើកណ្តាល ក្រោយពីម៉ាស៊ីនមេកណ្តាលបញ្ចូនចូលទៅ SIEM (គេប្រើវិធីសាស្ត្រនេះដើម្បីកាត់ បន្ថយការផ្ទុកក្នុង SIEM) ផ្ញើកំណត់ហេតុ snare logs ដោយផ្ទាល់ទៅ SIEM (ប្រសិនបើ SIEM របស់អ្នកមានសមត្ថភាពរក្សាទុកល្អសម្រាប់រយៈពេលវែងនិងខ្លី – ការរក្សាកំណត់ហេតុរយៈពេលមធ្យម វិធីសាស្រ្តនេះអាចត្រូវគេដាក់ពង្រាយ) គេផ្តល់ អនុសាសន៍ដើម្បីកំណត់រចនាសម្ព័ន្ធ SIEM របស់អ្នកជាមួយនឹងពត៌មានលំអិតរបស់ snare និងការធ្វើតេស្តសាកល្បងដែលគួរតែជាអ្នកស្នងដើម្បីប្រមូលកំណត់ហេតុ។

ដូច្នេះអ្នកអាចផ្លាស់ប្តូរគោលដៅបណ្តាញ IP ទៅ IP របស់ SIEM ឬ LOG COLLECTOR IP

· រូបភាពខាងលើបង្ហាញថាទិសដៅត្រូវគេកំណត់ជាមួយម៉ាស៊ីនមូលដ្ឋានដើម្បីប្រមូល និងទុកកំណត់ហេតុព្រឹត្តិការណ៍ក្នុងទ្រង់ទ្រាយផ្សេងៗ SNARE, SYSLOG, CEF (Common Event Format) ឬ LEEF (Log Event Extended Format)· តាមលំនាំដើម(default ) នឹងត្រូវគេប្រមូលកំណត់ហេតុ និងរក្សាទុកឯកសារដោយទំរង់ snare & logs ដែលនឹងត្រូវគេបញ្ជូនបន្តទៅ SIEM ។ចូលដំណើរការកំណត់រចនាសម្ព័ន្ធ•ផត Web server ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវសម្រាប់ការចូលប្រើកុងសូល, Web server Protocol អាចត្រូវគេកំណត់យ៉ាងងាយស្រួលដោយយោងទៅតាមបរិយា កាសរបស់អ្នក។•រូបភាពខាងលើបង្ហាញពីការកំណត់រចនាសម្ព័ន្ធជាមួយច្រកម៉ាស៊ីនបម្រើបណ្តាញ 6161 ផតភ្នាក់ងារ Snare 6262 និង HTTP ជាពិធីការរបស់វ៉ិបសាយសម្រាប់គោលបំណងបង្ហាញ ការផ្តល់វិញ្ញាបនប័ត្រដំឡើងសម្រាប់ការភ្ជាប់សុវត្ថិភាពដើម្បីបញ្ជូនកំណត់ហេតុ(logs )។

ការកំណត់រចនាសម្ព័ន្ធគោលបំណង

គោលដៅរួមបញ្ចូលព្រឹត្តិការណ៍មានប្រភេទផ្សេងៗគ្នាដែលអាចជា windows Log on/Log off, access to file or directory, security policy change, system restart, and shutdown.
ការកែប្រែ ឬលុបព្រឹត្តិការណ៍ជាក់លាក់ដើម្បីកំណត់អាទិភាពមួយ (សំខាន់, ខ្ពស់, ទាប និងព័ត៌មាន)

ស្ថិតិសេវាសវនកម្ម

សេវាកម្មសវនកម្ម (Audit Service )ធានាថា អន្ទាក់(snare ) ត្រូវតភ្ជាប់ និងផ្ញើកំណត់ហេតុទៅ SIEM ។ •វាបង្ហាញពីបរិមាណមធ្យមប្រចាំថ្ងៃនៃព្រឹត្តិការណ៍ដែលបញ្ជូនទៅ SIEM ។
ក្នុងករណីមានបញ្ហាលើបណ្តាញ, អ្នកគ្រប់គ្រងសង្គម (Soc Administrator ) អាចពិនិត្យមើលស្ថានភាពសេវាកម្ម។

វិញ្ញាបនប័ត្រសន្តិសុខ – មជ្ឈមណ្ឌលប្រតិបត្តិការសន្តិសុខ

ដើម្បីបង្កើតការតភ្ជាប់ដែលអ៊ិនគ្រីបហើយ បង្កើតវិញ្ញាបនប័ត្រដែលចុះហត្ថលេខា ដោយខ្លួនឯងទៅឱ្យ WEB-UI ភ្នាក់ងារចារកម្ម snare និងសុពលភាពវិញ្ញាបនបត្របណ្តាញទិសដៅនឹងបង្កើតមធ្យោបាយសុវត្ថិភាពនៃការបញ្ជូនកំណត់ហេតុទៅកាន់ SIEM ។

ការចាប់ផ្តើមសេវាកម្មឡើងវិញសេវាកម្ម•ប្រសិនបើ SIEM មិនប្រមូលកំណត់ហេតុព្រឹត្តិការពីភ្នាក់ងារ Snare ទេនោះ វាជាពេលវេលាដើម្បីដោះស្រាយបញ្ហា និងទាញយកកំណត់ហេតុពីម៉ាស៊ីន snare server ។•រូបភាពខាងលើបង្ហាញថា សេវាកម្ម Snare ចាប់ផ្តើមឡើងវិញដោយជោគជ័យ។ព្រឹត្តិការណ៍ – មជ្ឈមណ្ឌលប្រតិបត្តិការសន្តិសុខ• Windows 10 កំពុងបញ្ជូនកំណត់ហេតុព្រឹត្តការណ៍ទៅកាន់ SIEM ដែលដាក់ពង្រាយ SIEM ឬព្រឹត្តិការណ៍ដែលអាចមើលនៅក្នុង snare console•រាល់ពេលដែលអ្នកមិនអាចបើក និងរកមើលការរំលោភលើបរិយាកាសរបស់អ្នក ជាមួយនឹង snare នោះ ហេតុផលនេះ គេនឹងបញ្ជូនកំណត់ហេតុទៅ SIEM ដើម្បីស្វែងរកការវាយ ប្រហារ។• SIEM នឹងមានភាពឆ្លាតវៃក្នុងការវាយប្រហារ ដោយបង្កើតឱ្យមានច្បាប់ទាក់ទងគ្នាយ៉ាង មានប្រសិទ្ធភាព។
• រូបភាពខាងលើដែលមានលេខសម្គាល់ព្រឹត្តការណ៍ 4625 ជាការបរាជ័យក្នុងការប៉ុនប៉ង ប្រើពាក្យសម្ងាត់ទៅម៉ាស៊ីន Windows 10 ក្រោយពីព្រឹត្តិការណ៍4689ជោគជ័យ ។ •បញ្ជីលេខសម្គាល់ព្រឹត្តិការណ៍ Windows នៅទីនេះ: អង្គនៅខាងលើបង្ហាញការប៉ុនប៉ងដែលអកុសលមានការចូលដោយជោគជ័យ។
ច្បាប់ពាក់ព័ន្ធ និងព្រឹត្តិការណ៍

•ម៉ាស៊ីនរបស់វាបង្កើតឡើងដើម្បីសរសេរក្បួនការពារ និងដើម្បីរកឃើញអ្នកដែលបំពាន ហើយច្បាប់នីមួយៗនឹងជាឧប្បត្តិហេតុតែមួយគត់។ ឧទាហរណ៍: សន្មតថាអ្នកសរសេរក្បួនសម្រាប់ការប៉ុនប៉ងប្រើ brute-force ការប៉ុនប៉ង Brute-force នឹងមានខ្សែស្រឡាយបន្តបន្ទាប់ជាមួយនឹងឃ្លាសម្ងាត់ផ្សេងគ្នាទៅម៉ាស៊ីនមេ។

ចំណាំៈការប៉ុនប៉ងដែលបរាជ័យកើតឡើងដោយការលុកចូលដោយជោគជ័យ៕