核心内容概述
-
三种日志配置对比
- 默认Windows日志:仅能检测密码喷洒攻击(4625/4624事件),无法识别恶意文件下载或特权升级
- 增强审计策略:新增进程创建日志(4688事件),可追踪
CoolDragonWallpaper.PNG.exe等可疑文件 - Sysmon配置:提供网络连接(事件ID 3)、文件创建(ID 11/29)等上下文数据,记录文件哈希和来源IP
-
关键攻击场景检测差异
攻击类型 默认日志 增强策略 Sysmon 密码喷洒 ✔ ✔ ✘ 恶意文件下载 ✘ ✔ ✔ TrustedInstaller提权 ✘ ✔ ✔ Kerberoasting ✘ ✘* ✘ *需在域控制器单独配置策略
-
Audit Inspector工具
- 功能特性:
- 检测Windows主机审计策略状态
- 验证Sysmon版本/配置一致性(通过哈希比对)
- 自动修复策略偏差(需管理员权限)
- 部署建议:
1 2 3 4# 仅检测模式 AuditInspector.exe /z # 应用BHIS推荐策略 AuditInspector.exe - 安全实践:建议对二进制文件进行代码签名,防止恶意替换
- 功能特性:
-
企业级日志管理挑战
- 常见日志中断原因:GPO冲突、磁盘空间不足、恶意攻击者禁用日志服务
- 注册表审计陷阱:高级审计策略会产生海量噪音,建议优先使用Sysmon的针对性注册表监控(事件ID 13)
技术实践建议
- 互补部署:EDR用于威胁阻断,Sysmon提供攻击链上下文,Windows日志补充认证事件
- 域控制器专用配置:需单独启用
DS-Access-All策略检测Kerberoasting攻击 - 性能优化:避免同时启用Sysmon和高级审计的注册表监控,防止I/O过载
“单纯依赖EDR就像用棍子造飞机——我们需要多元化的日志源才能构建完整的攻击画像” —— Kiersten Gross