Интернетмагазин

 Расследование инцидента Идентификатор

Download 18,66 Mb.

Pdf ko'rish

bet	213/272
Sana	25.02.2022
Hajmi	18,66 Mb.
	#290514

1 ... 209 210 211 212 213 214 215 216 ... 272

Bog'liq
Диогенес Ю., Озкайя Э. - Кибербезопасность. Стратегии атак и обороны - 2020

254  Расследование инцидента
Идентификатор
события
Описание
Сценарий безопасности
4732
В защищенную локальную
группу добавлен член
Существует множество способов повысить привилегии,
и иногда одним из способов является добавление себя
в качестве члена группы с более высокими привилегия-
ми. Злоумышленники могут использовать этот метод
для получения привилегированного доступа к ресурсам.
Если вы обнаружите это событие, обязательно проверьте
легитимность данной операции
4739
Политика домена была
изменена
Во многих случаях основной целью миссии злоумыш-
ленника является контроль над доменом, и это событие
может показать это. Если неавторизованный пользова-
тель вносит изменения в политику домена, это означает
уровень взлома: достиг иерархии уровня домена. Если
вы обнаружите это событие, обязательно проверьте
легитимность данной операции
4740
Учетная запись пользова-
теля была заблокирована
При выполнении нескольких попыток входа в систему
одна из них достигнет порога блокировки учетной
записи, и учетная запись будет заблокирована.
Это может быть легитимная попытка входа в систему
или признак атаки методом полного перебора.
Обязательно примите во внимание эти факты
при рассмотрении данного события
4825
Пользователю было отка-
зано в доступе к удален-
ному рабочему столу.
По умолчанию пользова-
телям разрешено подклю-
чаться, только если они
являются членами группы
пользователей удаленного
рабочего стола или группы
администраторов
Это очень важное событие, особенно если у вас есть
компьютеры с открытым RDP-портом, например
виртуальные машины, расположенные в облаке.
Это событие может быть легитимным, но также может
указывать на несанкционированную попытку получить
доступ к компьютеру через подключение по RDP
4946
Внесено изменение
в список исключений
брандмауэра Windows.
Было добавлено правило
Когда компьютер компрометируется и в систему перено-
сится фрагмент вредоносного программного обеспече-
ния, обычно при запуске это вредоносное ПО пытается
установить доступ к командно-контрольному серверу.
Некоторые злоумышленники попытаются изменить
список исключений брандмауэра Windows, чтобы
разрешить выполнение этого подключения
4948
Внесено изменение
в список исключений
брандмауэра Windows.
Правило было удалено.
Это сценарий, аналогичный тому, что описан выше;
разница состоит в том, что в этом случае злоумышленник
решил удалить правило, вместо того чтобы создавать
новое. Это также может быть попыткой скрыть его
предыдущее действие. Например, он мог создать
правило, разрешающее внешнюю связь, и после
завершения этой операции удалить правило, чтобы
удалить доказательство компрометации
Важно отметить, что некоторые из этих событий будут появляться только
в том случае, если политика безопасности на локальном компьютере настрое-
на правильно. Например, событие 4663 не появится в системе, как показано на
рис. 13.5, потому что для Object Access не включен аудит.

Исследование скомпрометированной системы внутри организации 

Download 18,66 Mb.

Do'stlaringiz bilan baham:

1 ... 209 210 211 212 213 214 215 216 ... 272