Хостовые логи и HIDS

Хостовые системы обнаружения вторжений (HIDS) являются критически важными для обнаружения и иногда предотвращения вторжений на уровне хоста. Эти системы работают непосредственно на отдельных хостах, создавая логи, которые предоставляют информацию о потенциальных инцидентах безопасности. Логи могут быть объемными и детализированными, охватывая различные аспекты активности системы и приложений. Однако управление этими логами в крупных средах может быть сложной задачей, поэтому многие организации используют централизованные решения для управления логами. Центральные серверы логов агрегируют данные с нескольких хостов, упрощая их поиск, анализ и корреляцию с помощью инструментов мониторинга сетевой безопасности (NSM).

HIDS часто используют агенты, которые собирают и отправляют логи на централизованные серверы управления. Например, OSSEC — это известная система HIDS с открытым исходным кодом, которая предоставляет обширные функции сбора и анализа логов. Агенты OSSEC могут передавать логи на центральный сервер, где они могут анализироваться в реальном времени. В средах Windows Microsoft предлагает несколько методов автоматического сбора и анализа хостовых логов, встроенных в операционную систему. Для Linux Tripwire предлагает решение HIDS, которое предоставляет аналогичные функции и может масштабироваться для крупных предприятий.

Логи Windows

В Windows логи доступны локально через «Просмотр событий» (Event Viewer), который классифицирует логи на пять основных типов:

1. Журналы приложений: Эти логи записывают события, созданные работающими на системе приложениями. Они могут содержать информацию о сбоях или ошибках, произошедших в приложениях, а также успешных операциях.

2. Журналы системы: Эти логи включают события, связанные с работой драйверов, процессов и аппаратного обеспечения. Они фиксируют проблемы с системными компонентами, такими как сбои драйверов или ошибки аппаратного обеспечения.

3. Журналы установки: В этих журналах записывается информация о процессе установки программного обеспечения, включая обновления Windows. Они помогают отслеживать изменения в системе и выявлять потенциальные проблемы, связанные с установкой.

4. Журналы безопасности: Эти логи фиксируют события, связанные с безопасностью, такие как попытки входа в систему и операции, связанные с управлением и доступом к файлам или объектам. Безопасность логирования обеспечивается службой Local Security Authority Subsystem Service (LSASS), которая также отвечает за соблюдение политик безопасности на хосте. LSASS работает как lsass.exe и часто маскируется под вредоносное ПО. Проверка подлинности процесса LSASS заключается в том, что он должен работать из каталога Windows System32. Если запущен файл с таким же именем или его подделка, например 1sass.exe, и он работает из другого каталога, это может быть признаком вредоносного ПО.

5. Журналы командной строки: Злоумышленники, получившие доступ к системе, а также некоторые виды вредоносного ПО, выполняют команды из командной строки (CLI), а не из графического интерфейса. Логирование выполнения командной строки предоставляет информацию о таких инцидентах, помогая выявлять и анализировать атаки.

Разные типы логов могут содержать различные типы событий. В журналах безопасности записываются только сообщения об успешных или неудачных попытках аудита. События Windows идентифицируются номерами ID и краткими описаниями. Полный справочник по ID событий безопасности доступен на веб-сайте Ultimate Windows Security.

Типы событий в Windows

• Ошибка: Событие, указывающее на серьезную проблему, такую как потеря данных или функциональности. Например, если служба не загружается при старте системы, это регистрируется как событие Error.

• Предупреждение: Событие, которое не обязательно является значительным, но может указывать на потенциальную проблему в будущем. Например, нехватка места на диске фиксируется как событие Warning. Если приложение может исправить проблему без потери функциональности или данных, это событие обычно классифицируется как Warning.

• Информация: Событие, описывающее успешную работу приложения, драйвера или службы. Например, успешная загрузка сетевого драйвера может быть зарегистрирована как Information. Важно отметить, что для обычного приложения не рекомендуется регистрировать события при каждом запуске.

• Аудит успехов: Событие, фиксирующее успешно выполненную попытку доступа к системе безопасности. Например, успешная попытка входа пользователя в систему регистрируется как событие успешного аудита.

• Аудит ошибок: Событие, фиксирующее неудачную попытку аудита доступа к системе безопасности. Например, если пользователь не может получить доступ к сетевому диску, это фиксируется как событие аудита ошибки.

Настройка и анализ логов в Windows

Для эффективного управления и анализа хостовых логов в Windows следует учитывать несколько ключевых аспектов. Важно настроить и правильно использовать инструменты, которые помогут в сборе, хранении и анализе логов.

Настройка сбора и хранения логов

1. Конфигурация журналов безопасности: Для настройки записи событий безопасности в Windows используется локальная политика безопасности или группа политик безопасности в Active Directory. В «Локальной политике безопасности» можно настроить параметры аудита, такие как успешные и неудачные попытки входа, доступ к объектам и изменение политик. Эти настройки можно найти в Политики локальной безопасности → Политики аудита → Аудит входа в систему и других связанных параметрах.

2. Период хранения логов: В «Просмотре событий» можно настроить параметры хранения логов, чтобы они не переполняли диск. Это делается через свойства журнала в «Просмотре событий». Перейдите в раздел Просмотр событий → Журналы Windows → Безопасность → Свойства. В разделе «Архивирование» можно настроить параметры максимального размера журнала и политику его архивации.

3. Настройка Forwarding (пересылка) логов: Для централизованного управления логами рекомендуется настроить пересылку логов на централизованный сервер логирования, например, через Windows Event Forwarding (WEF) или использование систем управления логами, таких как Splunk или ELK Stack. В WEF можно настроить «Групповые политики» для отправки логов на центральный сервер. Для этого нужно настроить источник событий и подписку на события через GPO. Перейдите в Управление групповой политикой → Конфигурация компьютера → Политики → Административные шаблоны → Компоненты Windows → Просмотр событий → Настройки подписки на события.

Анализ и мониторинг логов

Использование инструментов анализа: Логи из Windows Event Viewer можно анализировать с помощью различных инструментов. Одним из таких инструментов является PowerShell. Команда Get-EventLog позволяет извлекать и фильтровать события по типу, уровню и источнику. Например, для извлечения всех событий ошибок из журнала безопасности используйте:

Get-EventLog -LogName Security -EntryType Error

Также можно использовать Get-WinEvent для более сложных запросов и фильтрации.

 

Анализ на наличие аномалий: Важным аспектом анализа логов является выявление аномалий и подозрительной активности. Для этого можно настроить правила в системах управления логами для отслеживания определенных шаблонов событий, таких как множественные неудачные попытки входа или необычные попытки доступа к системным файлам.

Периодический аудит и отчеты: Регулярный аудит логов и создание отчетов помогут в поддержании безопасности системы. Это можно настроить как через встроенные функции Windows, так и через сторонние инструменты. Важно регулярно проверять отчеты на наличие необычной активности и оперативно реагировать на выявленные проблемы.

Эти меры помогут вам эффективно управлять хостовыми логами и использовать их для обеспечения безопасности системы.