Интернетмагазин

Download 18,66 Mb.

Pdf ko'rish

bet	212/272
Sana	25.02.2022
Hajmi	18,66 Mb.
	#290514

1 ... 208 209 210 211 212 213 214 215 ... 272

Bog'liq
Диогенес Ю., Озкайя Э. - Кибербезопасность. Стратегии атак и обороны - 2020

253
Идентификатор
события
Описание
Сценарий безопасности
4688
Был создан новый процесс Когда произошло массовое распространение вируса-
вымогателя Petya, одним из индикаторов компромета-
ции было это: cmd.exe /c schtasks /RU «SYSTEM» /Create
/SC once /TN «» /TR «C:Windowssystem32shutdown.exe /r
/f» /ST
. После выполнения команды cmd.exe был
создан новый процесс, а также создано событие 4688.
Получение сведений об этом событии чрезвычайно
важно при расследовании проблем, связанных
с безопасностью
4700
Запланированное задание
было включено
На протяжении многих лет злоумышленники исполь-
зовали запланированные задания для выполнения
действий. Используя тот же приведенный выше пример
(Petya), событие 4700 может дать вам более подробную
информацию о запланированном задании
4702
Запланированное задание
было обновлено
Если вы видите событие 4700 от пользователя, который
обычно не выполняет операции такого типа, и вы все
еще видите событие 4702, чтобы обновить эту задачу,
вам следует продолжить расследование. Имейте в виду,
что это срабатывание может быть ложным, но все
зависит от того, кто внес это изменение, и профиля
пользователя, выполняющего этот тип операции
4719
Политика системного
аудита была изменена
Как и первое событие в этом списке, в некоторых слу-
чаях злоумышленникам, которые уже взломали учетную
запись на уровне администратора, может потребоваться
внести изменения в системную политику, чтобы про-
должить проникновение и дальнейшее распространение
по сети. Обязательно ознакомьтесь с этим событием
и проследите за достоверностью внесенных изменений
4720
Была создана учетная
запись пользователя
В организации только у определенных пользователей
должно быть право создавать учетную запись. Если вы
видите, что обычный пользователь создает учетную
запись, есть вероятность, что его учетные данные были
скомпрометированы, и злоумышленник уже повысил
привилегии для выполнения этой операции
4722
Была активирована учет-
ная запись пользователя
В рамках своей кампании злоумышленнику может
потребоваться активировать учетную запись, которая
ранее была отключена. Обязательно проверьте
легитимность этой операции на случай, если увидите
это событие
4724
Предпринята попытка
сбросить пароль учетной
записи
Еще одно распространенное действие во время про-
никновения в систему и дальнейшего распространения.
Если вы обнаружите это событие, обязательно проверьте
легитимность этой операции
4727
Создана защищенная
глобальная группа
Правом создавать защищенные группы должны обладать
только определенные пользователи. Если вы видите,
что обычный пользователь создает новую группу, есть
вероятность, что его учетные данные были скомпроме-
тированы, и злоумышленник уже повысил привилегии
для выполнения этой операции. Если вы обнаружите это
событие, обязательно проверьте легитимность данной
операции

Download 18,66 Mb.

Do'stlaringiz bilan baham:

1 ... 208 209 210 211 212 213 214 215 ... 272