Memahami log Peristiwa Windows untuk Pusat Operasi Keamanan Cyber

  • Whatsapp
Memahami log Peristiwa Windows untuk Pusat Operasi Keamanan Cyber
Memahami log Peristiwa Windows untuk Pusat Operasi Keamanan Cyber
Log Peristiwa Windows

Pusat operasi Keamanan Cyber ​​melindungi organisasi dan data bisnis sensitif pelanggan. Ini memastikan pemantauan aktif aset bisnis yang berharga dengan visibilitas, peringatan dan penyelidikan ancaman dan pendekatan holistik untuk mengelola risiko.

Layanan analitik dapat berupa layanan keamanan internal atau terkelola. Mengumpulkan log peristiwa dan menganalisis log dengan serangan dunia nyata adalah inti dari pusat operasi keamanan.

Acara – Pusat operasi keamanan

Peristiwa dihasilkan oleh sistem yang merupakan kode kesalahan, perangkat menghasilkan peristiwa dengan sukses atau gagal ke fungsi normalnya. Jadi, pencatatan peristiwa memainkan peran penting untuk mendeteksi ancaman. Dalam organisasi, ada beberapa nomor dan rasa Windows, Linux, firewall, IDS, IPS, Proxy, Netflow, ODBC, AWS, Vmware dll.

Perangkat ini biasanya melacak jejak penyerang sebagai log dan meneruskan ke alat SIEM untuk dianalisis. Dalam artikel ini, akan melihat bagaimana peristiwa didorong ke pengumpul log. Untuk mengetahui lebih lanjut tentang acara windows atau id acara, lihat Di Sini.

Kolektor Log

Ini adalah server terpusat untuk menerima log dari perangkat apa pun. Di sini saya telah menggunakan Snare Agent di mesin Windows 10. Jadi kami akan mengumpulkan log peristiwa windows dan Mendeteksi serangan ke serangan mesin windows 10 menggunakan Snare Agent.

Jeratnya adalah SIEM(INSIDEN KEAMANAN DAN MANAJEMEN ACARA) Solusi untuk pengumpul log dan penganalisis peristiwa di berbagai sistem operasi Windows, Linux, OSX Apple, dan mendukung peristiwa MSSQL agen basis data yang dihasilkan oleh Microsoft SQL Server. Ini mendukung Agen Perusahaan dan Sumber Terbuka.

Pemasangan snare

  • Untuk tujuan Demo, saya tidak menggunakan kredensial tetapi selalu disarankan untuk menggunakan kata sandi yang kuat untuk melindungi log tanpa kebocoran.

Antarmuka Web Snare: –

  • Secara default, snare akan berjalan di Port 6161.
  • Port acak juga dapat dipilih dengan Protokol TCP atau UDP atau TLS/SSL.
  • Snare akan meminta kredensial untuk masuk. Di sini saya tidak memberikan otentikasi.
  • Gambar di bawah ini menunjukkan keberhasilan pemasangan snare agent dan memberikan detail tambahan di layar.

Konfigurasi Tujuan Jaringan & File

  • Windows 10 kami mulai mengirimkan log peristiwa ke konsol Snare.
  • Konsol snare berjalan di localhost dan mengumpulkan log dari mesin windows.

CATATAN: Log dapat dikirim ke server terpusat, kemudian server terpusat mendorong log ke SIEM (Untuk mengurangi beban di SIEM metode ini digunakan), kirim snare log langsung ke SIEM (Jika SIEM Anda mampu menyimpan dengan baik untuk waktu yang lama dan pendek- retensi log istilah metode ini dapat digunakan), Disarankan untuk mengonfigurasi SIEM Anda dengan detail port snare dan koneksi uji harus menjadi penerus untuk mengumpulkan log.

  • Jadi Anda dapat mengubah IP tujuan jaringan menjadi IP SIEM atau IP KOLEKTOR LOG.
  • Gambar di atas menunjukkan tujuan dikonfigurasi dengan localhost untuk mengumpulkan dan menyimpan log peristiwa dalam berbagai format SNARE, SYSLOG, CEF (Format Acara Umum) atau LEEF (Format Perpanjangan Acara Log)
  • Secara default, ia akan mengumpulkan log dan menyimpan file dengan format snare & log diteruskan ke SIEM.

Konfigurasi Akses

  • Port server web, otentikasi untuk akses konsol, Protokol server Web dapat dengan mudah ditentukan sesuai dengan lingkungan Anda.
  • Gambar di atas menunjukkan konfigurasi dengan port server Web 6161, port agen Snare 6262 dan HTTP sebagai protokol server web untuk tujuan demo, Direkomendasikan menginstal sertifikat untuk koneksi aman untuk meneruskan log.

Konfigurasi Objektif

  • Objective termasuk event dengan kategori berbeda yang dapat berupa Windows Log on/Log off, akses ke file atau direktori, perubahan kebijakan keamanan, restart sistem, dan shutdown.
  • Ubah atau hapus acara tertentu untuk menetapkan prioritas(Kritis, Tinggi, Rendah & Informasi)

Statistik Layanan Audit

  • Layanan Audit memastikan snare terhubung dan mengirimkan log ke SIEM.
  • Ini menunjukkan byte rata-rata harian dari peristiwa yang ditransmisikan ke SIEM.
  • Jika terjadi kegagalan jaringan, Soc Administrator dapat memeriksa status layanan.

Sertifikasi Keamanan – Pusat operasi keamanan

  • Untuk membuat koneksi terenkripsi dan menghasilkan sertifikat yang ditandatangani sendiri ke WEB-UI, validasi sertifikat agen snare dan tujuan jaringan untuk menetapkan cara yang aman untuk meneruskan log ke SIEM.
Pusat operasi keamanan

Layanan Mulai Ulang

  • Jika SIEM tidak mengumpulkan log Peristiwa dari agen Snare untuk sementara waktu, maka sudah waktunya untuk memecahkan masalah dan mengambil log dari server snare.
  • Gambar di atas menunjukkan layanan Snare berhasil di-restart.

Acara – Pusat operasi keamanan

  • Windows 10 meneruskan log peristiwa ke SIEM yang Anda gunakan atau peristiwa dapat dilihat di konsol snare.
  • Setiap kali Anda tidak dapat membuka dan mencari gangguan ke lingkungan Anda dengan snare, untuk alasan ini, kami meneruskan log ke SIEM untuk Intelijen untuk mendeteksi serangan.
  • SIEM akan menjadi Cerdas untuk menjebak penyerang dengan membangun aturan korelasi yang efektif.
  • Gambar di atas dengan ID Peristiwa 4625 yang merupakan upaya kata sandi yang gagal ke mesin Windows 10 diikuti oleh Peristiwa 4689 yang Berhasil.
  • Daftar Id Acara Windows Di Sini

CATATAN: Angka di atas menunjukkan upaya yang gagal diikuti dengan login yang berhasil.

Aturan korelasi & Insiden

  • Ini adalah mesin yang dirancang untuk menulis aturan defensif untuk mendeteksi orang yang menyerang, Setiap aturan akan menjadi insiden unik.
  • Contoh: Asumsikan bahwa Anda menulis aturan untuk upaya brute-force, upaya Brute-force akan memiliki utas berkelanjutan dengan frasa sandi yang berbeda ke server.
  • sesuai CATATAN: upaya gagal diikuti dengan login yang berhasil.

Aturan Korelasi: upaya kata sandi gagal + Diikuti dengan Login yang berhasil = Brute-force (Insiden)

Sekarang lingkungan pelanggan Anda siap untuk kasus penggunaan yang Diketahui (Terdeteksi brute-force), Anda juga dapat membuat atau menulis kasus penggunaan Anda sendiri dan menyebarkan di SIEM Anda untuk mendeteksi serangan cyber yang canggih !!!

Juga, kami menyarankan Anda untuk mengambil salah satu kursus online terkemuka untuk Analis SOC – Pelatihan Intrusi Serangan Cyber | Dari Awal untuk meningkatkan keterampilan Anda menjadi analis SOC.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.