Windows日志策略如何影响网络安全调查
概述
本次网络研讨会重点讨论了Windows主机的日志策略及其对网络安全调查的影响。Kiersten Gross和James Marrs比较了三种不同的日志配置:默认日志记录、BHIS Sysmon配置和高级审计策略。他们还介绍了一个名为Audit Inspector的工具,该工具有助于管理日志策略并确保在整个组织中的一致性部署。
实验设置
在实验室环境中,他们设置了一个Windows 10专业版机器和一个Kali Linux机器。Kali机器用于攻击Windows机器,但只关注Windows机器的日志。他们进行了两种攻击来审查三种不同日志场景下的日志差异。
三种日志配置
- 默认日志记录:安装Windows 10专业版后的默认配置。
- 增强日志记录:应用了BHIS推荐的高级审计策略。
- Sysmon配置:使用BHIS的Sysmon配置。
攻击分析
密码喷洒攻击
- 默认Windows日志:检测到密码喷洒攻击(事件ID 4625和4624)。
- Sysmon:未提供任何相关日志。
- 增强Windows审计:同样检测到攻击。
文件下载与执行攻击
- 默认Windows日志:只能看到系统账户登录,缺乏上下文。
- 增强Windows审计:提供更多上下文,如进程创建事件(事件ID 4688)和系统登录事件。
- Sysmon:提供详细的网络连接(事件ID 3)、文件创建(事件ID 11和29)和哈希信息,极大增强了调查能力。
Audit Inspector工具
Audit Inspector是一个用于测量和管理Windows审计策略的工具。它可以:
- 检查默认和增强的审计策略配置。
- 监控Sysmon的健康状况、版本和配置一致性。
- 通过JSON输出日志,便于集成到SIEM系统中。
使用方式
- 从GitHub下载二进制文件。
- 推荐组织签名二进制文件以确保安全。
- 无参数运行时,会应用推荐的审计策略。
- 使用
-z参数时,仅记录当前配置而不进行修改。
日志策略的重要性
- 多样化日志源:依赖单一日志源(如仅Sysmon或仅Windows日志)会导致盲点。
- 上下文关键性:EDR日志可能检测恶意事件,但缺乏前后上下文,而Sysmon和增强审计策略提供这些细节。
- 维护一致性:审计策略可能因多种原因(如恶意攻击、配置漂移)而失效,需要工具如Audit Inspector来维护。
常见攻击的检测能力
| 攻击类型 | 默认策略 | 增强审计 | Sysmon |
|---|---|---|---|
| 密码喷洒 | 是 | 是 | 否 |
| 恶意下载 | 否 | 是 | 是 |
| 信任安装程序提升 | 否 | 是 | 是 |
| Kerberoasting | 否 | 是* | 否 |
| AS-REP Roasting | 否 | 是* | 否 |
| 用户账户控制禁用 | 否 | 否 | 是 |
| Living Off the Land | 否 | 是 | 是 |
*需要域控制器特定的审计策略。
建议与最佳实践
- 结合使用多种日志源:不要依赖单一日志类型,结合Windows日志、Sysmon和EDR。
- 部署审计策略:使用GPO或RMM工具部署一致的审计策略。
- 监控日志健康:使用Audit Inspector等工具定期检查日志配置的一致性。
- 更新配置:定期更新Sysmon和审计策略以应对新威胁。
结论
有效的日志策略是网络安全调查的基石。通过结合默认Windows日志、增强审计策略和Sysmon,组织可以获得全面的可见性,快速检测和响应安全事件。工具如Audit Inspector进一步简化了日志策略的管理和维护,确保整个环境的一致性。