日志策略如何影响网络安全调查
本次网络研讨会最初发布于2024年9月12日。Kiersten Gross和James Marrs讨论了日志策略如何影响网络安全调查,特别关注Windows日志。他们探讨了Windows主机的三种不同日志配置,并检查这些配置如何影响各种攻击的检测。视频还介绍了一个名为Audit Inspector的工具,该工具有助于管理日志策略并确保在整个组织中一致部署。
研讨会重点
- 重点关注Windows主机的日志策略及其对网络安全调查的影响。
- 检查三种不同的日志配置:默认日志记录、BHIS Sysmon配置和高级审计策略。
- Audit Inspector工具帮助管理日志策略并确保在整个组织中一致部署。
实验设置
实验室包含一台Windows 10专业版机器和一台Kali Linux机器。Kali机器用于攻击Windows 10专业版,但讨论仅涉及Windows 10专业版的日志。进行了两次攻击以审查三种不同日志场景下的日志差异:
- 默认日志记录
- BHIS Sysmon配置
- 推荐的高级审计策略
使用了Audit Inspector工具来测量和配置审计策略。
攻击分析
密码喷洒攻击
- 默认Windows策略:能够检测到密码喷洒(4625事件后跟4624成功登录)。
- 增强Windows审计:同样能够检测。
- Sysmon:未提供与此攻击相关的日志记录。
这表明并非所有日志都适用于所有场景,某些日志源可能比其他源更有用。仅依靠Sysmon可能错过关键攻击,而Windows日志可以捕捉到。
恶意文件下载与执行
攻击者下载并重命名文件为"cool Dragon wallpaper"(故意拼错),并赋予两个文件扩展名(PNG和Exe),然后执行该二进制文件。
- 默认Windows日志记录:仅能看到系统账户登录,缺乏上下文,难以区分正常与恶意行为。
- 增强Windows审计:提供更多上下文,如4688进程创建事件,显示可疑进程名(cool dragon wallpaper.PNG.exe)和父进程(PowerShell),以及系统登录和Trusted Installer启动。
- Sysmon:提供更详细的日志,如事件ID 3(网络连接显示PowerShell连接到攻击者IP)、事件ID 11和29(文件创建事件,包括文件路径和哈希值),有助于识别恶意文件来源和内容。
日志策略比较
下表总结了不同日志策略对常见攻击的检测能力:
| 攻击类型 | 默认策略 | 增强审计 | Sysmon |
|---|---|---|---|
| 密码喷洒 | 是 | 是 | 否 |
| 恶意下载 | 否 | 是 | 是 |
| Trusted Installer提升 | 否 | 是 | 是 |
| Kerberoasting | 否 | 否* | 否 |
| AS-REP Roasting | 否 | 否* | 否 |
| UAC禁用 | 否 | 否 | 是 |
*增强审计可以配置域控制器策略来检测这些攻击。
Audit Inspector工具
Audit Inspector是一个用于管理和维护日志策略的工具,主要功能包括:
- 测量主机上的审计策略配置(高级审计策略成功/失败配置)。
- 检查Sysmon安装(配置哈希、文件路径、版本和服务状态)。
- 支持通过GPO或RMM工具部署配置,确保环境一致性。
- 生成事件ID 12345(记录当前配置)和12344(记录所做的更改),便于SIEM集成和故障排除。
使用方式:
- 无参数运行:启用推荐的审计策略。
-z参数:仅记录配置,不进行更改。- 推荐对二进制文件进行签名以防止篡改。
结论与建议
- 日志策略需基于要检测的攻击类型定制:单一日志源可能导致盲点。结合增强审计策略(用于身份验证和进程创建)和Sysmon(用于文件和行为监控)可以提供全面覆盖。
- 上下文至关重要:EDR日志可能检测恶意事件,但缺乏攻击前后上下文。增强日志策略提供所需上下文,帮助调查和响应。
- 维护和监控:日志配置可能因更新、错误或恶意攻击而发生变化。使用像Audit Inspector这样的工具可以确保配置一致性和健康状态。
资源
通过合理配置和维护日志策略,组织可以显著提升其检测和响应网络安全事件的能力。