آموزش استفاده از Event Viewer Windows با دیدگاه امنیت

هدف از این آموزش استفاده از Event Viewer Windows جهت بررسی لاگهای ویندوز با دیدگاه کارشناس امنیت می باشد.  یکی از توانمندیهایی که کاربران متخصص ویندوز را از کاربران عادی متمایز می کند توانایی خواندن log ها و تحلیل آن جهت برطرف کردن مشکلاتی هست که به وجود آمده است. و  ما قراره تو این آموزش از دیدگاه کارشناس امنیت که توی SOC فعالیت می کنه لاگها بررسی کنیم. تو این آموزش قرار بعد اینکه به صورت کلی با لاگهای ویندوز آشنا شدیم یک سناریو عملی برای اینکه بدونیم تو شبکه های بزرگ از Log ها چه استفاده ایی میشه آشنا بشیم.

اما قبل از شروع کار با Event Viewer بهتره با مفهوم Log آشنا بشیم.

لاگ چیست؟

لاگها یکسری فایلهای متنی هستند که توسط سیستم عاملها ، تجهیزات شبکه ، سرویس ها و ... تو لید می شوند.

لاگها چه کاربردی دارند؟

لاگها به ما کمک می کنند در زمانیکه سیستم عامل ، سرویسها ، برنامه ها دچار مشکل شدند یا حمله سایبری اتفاق افتاده منشا مشکل را پیدا کنیم.

چجوری لاگهای ویندوز را ببینیم:

ما برای اینکه بتونم به فایلهای لاگ ویندوز دسترسی پیدا کنیم کافیه مثل شکل تو منو استارت بزنیم Event Viewer

که بعد اجرا با چنین پنجره ایی روبرو می شویم

از منو سمت چپ گزینه Windows logs را بزنیم 5 تا زیرمنو داره که 4 تای آن مربوط به دسته بندی لاگها هر کدوم به اختصار توضیح می دهیم می باشد گزینه آخر مربوط ارسال لاگها به یک لاگ سرور دیگر جهت تحلیل لاگها می باشد.

Application  : لاگهای مربوط به برنامه هایی هستند که توسط کاربر بروی ویندوز نصب شده است مانند خطاهای برنامه ، مدت زمان استفاده از برنامه و....

Security : این لاگهای مربوط لاگهای امنیتی مانند ورود و خروج موفق و ناموفق کاربران و ...

Setup : لاگهای مربوط نصب یا کانفیگ برنامه یا سرویس هایی که راه اندازی می کنیم.

System : لاگهای مربوط به خود سیستم عامل مانند زمان خاموش و روشن شدن سیستم می باشد.

سطح بندی لاگها :

 : Critical بسیار حساس و مهم سریع باید بررسی شوند.

 :  Error  وقتی انجام یک کاری با شکست روبرو می شود.

  Warning : اتفاقاتی که ممکن است مهم باشد اما خطرناک نیست.

:  Information صرفاً جهت اطلاع دادن از یک رویداد.

سناریو:

برای اینکه بیشتر با log ها آشنا بشیم یک رویداد واقعی پیاده سازی می کنیم و با روش خواندن آنها آشنا می شویم. تو دنیای واقعی هکر برای بدست آوردن نام کاربری و رمز عبور از یکسری ابزار شروع به تست می کنه تا به هدف خودش برسه ما در این سناریو بدون ابزار این کار رو انجام می دهیم . ابتدا برای لاگین به ویندوز پسورد اشتباه وارد می کنیم سپس با پسورد درست وارد می شویم و بعد لاگهایی که ایجاد شده را بررسی می کنیم.

برای دیدن این لاگها کافیه Event Viewer باز کنیم  و به منو Security بریم مانند شکل زیر 

ما قرار پنج تا لاگ آخر که دورشو با خط قرمز مشخص کردیم رو بررسی کنیم

اولین چیزی که تو این پنج تا لاگ کارشناس امنیت جذب می کنه Audit Failure که با بقیه متفاوت است که نشان می دهد که یک کار درست انجام نشده است.

قبل اینکه Log تحلیل کنیم در مورد ستون هایی که وجود داره توضیحاتی بدم.

Keywords : کلمات کلیدی لاگها که باعث میشه سریع تر لاگهای موفق از ناموفق تشخیص بدیم.

Date and Time : ساعت و تاریخ ایجاد لاگ را به ما نشان می دهد.

Source: منبع که باعث ایجاد لاگ شده است را نشان می دهد .

Enevt ID : کد مربوط به ID لاگ است.

Task Category : دسته بندی لاگها

وقتشه بریم لاگها بررسی کنیم از Audit Failure شروع می کنیم.

شماره 1: نشان می دهد یک کاربرنتوانسته به سیستم لاگین کنه.

شماره 2: مشخصات سیستم که کاربر قسط داشته بهش لاگین کنه داره نشان می دهد اینجا چون Local هست مشخصات سیستم تست خودمونه اگر کاربر با نام دامین میخواست لاگین کنه نام دامین نوشته می شد در شبکه های بزرگ بچهایی که تو SOC پشت Seim هستند همه لاگها سرور ها و تجهیزات چون به صورت متمرکز می ببینند این اطلاعات براشون خیلی مهمه که ببیند رو کدوم سیستم شبکه چنین اتفاقی افتاده.

شماره 3 : نشان می دهد که کاربر با نام کاربری administrator قسط لاگین داشته است

شماره 4: نشان می دهد که نام کاربری و پسورد اشتباه وارد شده است با توجه به اینکه این سیستم لوکال هست و نام کاربری می دونم این سیستم وجود داره پس کاربر پسورد اشتباه وارد کرده است.

شماره 5: ای پی که کاربر قسط لاگین به سیستم را داشته نشان می دهد.

Log  بعدی

شماره 1: نشان می دهد این لاگ مربوط به credentials است که در شماره 2 credentials مربوط Valid است.

این لاگ مربوط به User Account Management در واقع مربوط به مدیریت کاربران می باشد در شماره نشان می دهد یا کاربر عضو گروه local  می باشد.

این لاگ مربوط به logon  می باشد که شماره 2 نشان می دهد کاربر این کار را با موفقیت انجام داده است.

در مرحله آخر می بینیم که نشان می دهد کاربر با موفقیت لاگین کرده است.

تجربه امنیتی:

با توجه به اینکه تو لاگها دیدیم ای پی کاربر 127.0.0.1 می باشد و WORKGROUP بوده نشان می دهد کاربر از پشت سیستم بوده و قصد لاگین را داشته است و چون فقط یک بار پسورد اشتباه زده است اگر تعداد پسورد های اشتباه در یک باز زمانی کم زیاد باشد شاید یک کاربر دیگه نام کاربری سیستم هدف می دونست داشت پسوردهای مختلف را برای ورد به سیستم تست می کرد که سریع باید بررسی شود و یا اگر ip یک ip  دیگر شبکه بود کاربر قسط داشته از طریق شبکه به سیستم هدف دسترسی پیدا کند که باید سریع بررسی شود