گسترش عملکرد سیستم SIEM کسپرسکی

05 شهریور 1403 گسترش عملکرد سیستم SIEM کسپرسکی

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ ما با دقت فراوان تکنیک‌هایی را که به دفعات توسط مهاجمین به کار رفتند بررسی می‌کنیم و سریعاً به سیستم SIEM خود برای شناسایی آن‌ها منطق شناسایی اصلاح کرده یا می‌افزاییم. به طور مشخص‌تر، در آپدیت پلت‌فرم منسجم و یکپارچه‌ی تحلیل و نظارت کسپرسکی خود در سه ماهه‌ی دوم سال 2024، منطق شناسایی تکنیک غیرفعال‌سازی/ دستکاری فایروال لوکال را که از جمله TTPهای برتر است که مهاجمین استفاده می‌کنند را تکمیل و گسترش دادیم.

چطور مهاجمین فایروال لوکال را غیرفعال یا دستکاری می‌کنند؟

 تکنیک T1562.004 به مهاجمین اجازه می‌دهد تا لایه‌های دفاعی را دور زده و برای وصل شدن به سرورهای C2 روی شبکه یا فعالسازی اپ غیرمعمول جهت داشتن دسترسی پایه به شبکه، قدرت گیرند. دو متود شایع برای دستکاری یا غیرفعال کردن فایروال میزبان وجود دارد: استفاده از ابزارnetsh یا دستکاری تنظیمات رجیستری ویندوز. در زیر نمونه‌های خط فرمان‌های محبوبی را داریم که برای این مقاصد توسط مهاجمین به کار رفتند:

netsh firewall add allowedprogram

netsh firewall set opmode mode=disable

netsh advfirewall set currentprofile state off

netsh advfirewall set allprofiles state off

مثالی از یک کلید رجیستری و ارزش افزوده شده توسط مهاجمین که به ترافیک UDP ورودی برای برنامه C:\Users\<user>\AppData\Local\Temp\server.exe اجازه می‌دهد:

HKLM\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules

Registry_value_name: {20E9A179-7502-465F-99C4-CC85D61E7B23}

Registry_value:’v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\

Users\<user>\AppData\Local\Temp\server.exe|Name=server.exe|’}

روش دیگری که مهاجمین برای غیرفعال کردن فایروال استفاده می‌کنند، متوقف کردن سرویس mpssvc است. این معمولاً با ابزار net utility net stop mpssvc انجام می‌شود.

net stop mpssvc

چطور راهکار SIEM می‌تواند T1562.004 را شناسایی کند؟

این با استفاده از قانون جدید R240 به دست می‌آید. به ویژه، با شناسایی و مرتبط کردن رویدادهای زیر:

  •         مهاجم سرویس فایروال لوکال را متوقف می‌کند تا محدودیت‌های آن را دور بزند
  •         مهاجم در حال غیرفعال کردن یا تغییر خط مشی فایروال لوکال برای دور زدن آن (پیکربندی یا غیرفعال کردن فایروال از طریق netsh.exe)
  •         مهاجم قوانین فایروال لوکال را از طریق رجیستری تغییر می‌دهد تا محدودیت‌های آن را دور بزند (تغییر قوانین از طریق رجیستری ویندوز)
  •         مهاجم فایروال لوکال را از طریق رجیستری غیرفعال می‌کند
  •         مهاجم با تغییر خط مشی‌های خود، فایروال لوکال را دستکاری می‌کند

با آخرین به روز رسانی خود، این پلت‌فرم اکنون بیش از 605 قانون را ارائه می‌دهد، از جمله 474 قانون حاوی منطق تشخیص مستقیم. ما همچنین 20 قانون موجود را با اصلاح یا تنظیم شرایط آنها اصلاح کرده‌ایم.

چرا تمرکزمان بر روی دسته‌بندی MITRE است؟

MITRE ATT&CK سازمانی حکم راهنمای استاندارد صنعت را برای دسته‌بندی و شرح حملات سایبری و نفوذها را دارد و از 201 تکنیک، 24 زیرتکنیک و هزاران رویه تشکیل شده است. از این رو، موقع تصمیم بر سر پیشرفت بیشتر پلت‌فرم SIEM خود از بین موارد دیگر، تمرکز خود را روی دسته‌بندی  MITRE می‌گذاریم. طبق این برنامه با هدف گسترش عملکرد سیستم و بازتاب سطح محافظت در برابر تهدیدات شناخته شده شروع کردیم به برچسب‌گذاری قوانین فعلی مطابق با روش‌ها و تاکتیک‌های حمله MITER کرده‌ایم. این اهمیت بسیاری دارد زیرا به ما امکان می‌دهد منطق تشخیص را ساختار دهیم و اطمینان حاصل کنیم قوانین جامع هستند - بدون "نقاط کور". ما همچنین در هنگام توسعه محتوای OOTB (اصطلاحاً خارج از جعبه) برای پل‌تفرم SIEM خود به MITER متکی هستیم. در حال حاضر، راهکارهای ما 309 تکنیک و تکنیک‌های فرعی MITER ATT&CK را پوشش می‌دهد.

سایر نکات اضافه‌شده و آپدیت‌های سیستم SIEM کسپرسکی

افزون بر منطق شناسایی برای  T1562.004 که بالاتر اشاره کردیم، نرمال‌کننده‌هایی را نیز به سیستم SIEM اضافه کرده‌ایم تا از منابع رخداد زیر پشتیبانی کند:

  •         OOTB محصولات مایکروسافت، OOTB محصولات مایکروسافت برای پلت‌فرم نظارت و تحلیل یکپارچه Kaspersky 3، [OOTB] محصولات مایکروسافت از طریق KES WIN:: نرمال‌سازهایی برای پردازش برخی رویدادها از گزارش‌های امنیتی و سیستم سیستم عامل Microsoft Windows Server.محصولات OOTB مایکروسافت از طریق نرمال‌ساز KES WIN از تعداد محدودی از انواع رویدادهای حسابرسی که از طریق syslog به KUMA KES WIN 12.6 منتقل می‌شوند، پشتیبانی می‌کند.
  •         [OOTB] Extreme Networks Summit Wireless Controller:نرمال‌کننده‌ای برای رویدادهای ممیزی خاص از کنترل‌کننده بی‌سیم Extreme Networks Summit  (مدل: WM3700، نسخه میان‌افزار: 5.5.5.0-018R).
  •         [OOTB] Kaspersky Security برای MS Exchange SQL:نرمال ساز رویدادهای سیستم Kaspersky Security for Exchange (KSE) نسخه 9.0 ذخیره شده در پایگاه داده.
  •         فایل (OOTB) TIONIX VDI:نرمال‌سازی‌کننده‌ای که از پردازش برخی رویدادهای سیستم TIONIX VDI (نسخه 2.8) ذخیره شده در فایل tionix_lntmov.log پشتیبانی می‌کند.
  •         [OOTB] SolarWinds Dameware MRC xml:نرمال‌سازی‌کننده‌ای که از پردازش برخی رویدادهای سیستمی Dameware Mini Remote Control (MRC) نسخه 7.5 ذخیره شده در گزارش برنامه Windows پشتیبانی می‌کند. نرمال ساز وقایع ایجاد شده توسط ارائه دهنده dwmrcs را پردازش می‌کند.
  •         [OOTB] Cisco WLC syslog: نرمال‌کننده‌ای برای برخی انواع رخدادها از سوی دستگاه‌های Cisco WLC network (سری کنترلرهای بی‌سیم 2500، سری‌های 5500 و 8500 و فلکس 7500) از طریق لاگ سیستم.
  •         فایل [OOTB] Huawei iManager 2000: نرمال‌کننده‌ای با پشتیبانی از پردازش برخی رخدادهای سیستم Huawei iManager 2000 ذخیره‌شده در فایل‌های \client\logs\rpc و \client\logs\deploy\ossDeployment.

متخصصین ما همچنین نرمال‌کننده‌های زیر را نیز اصلاح کردند:

  •         برای محصولات مایکروسافت: نرمال ساز ویندوز بازطراحی شده اکنون به صورت عمومی در دسترس است.
  •         برای سیستم PT NAD: یک نرمال ساز جدید برای PT NAD نسخه‌های 11.1، 11.0 توسعه داده شده است.
  •         برای سیستم عامل‌های یونیکس مانند: انواع رویدادهای اضافی اکنون پشتیبانی می‌شوند.
  •         برای چک پوینت: بهبودهایی در نرمال ساز که از Check Point R81 پشتیبانی می‌کند.
  •         برای سیستم Citrix NetScaler:رویدادهای اضافی از Citrix ADC 5550 — NS13.0 اکنون پشتیبانی می‌شوند.
  •         برای FreeIPA:نرمال‌ساز بازطراحی شده اکنون به صورت عمومی در دسترس است.

بطور کلی اکنون حدود 250 منبع را پشتیبانی می‌کنیم و این فهرست همچنان در حال توسعه است و در عین حال در حال ارتقای کیفیت هر کانتکتور نیز هستیم. فهرست کامل منابع رخداد پشتیبانی‌شده در نسخه 3.2 پلت‌فرم ما در بخش پشتیبانی فنی موجود است.

 

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,710,150 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    11,568,900 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,156,890 ریال11,568,900 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    77,167,650 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,914,750 ریال21,829,500 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    15,651,825 ریال31,303,650 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    16,743,300 ریال33,486,600 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    69,453,825 ریال138,907,650 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    222,256,650 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    83,345,325 ریال166,690,650 ریال
    خرید
  • Kaspersky Small Office Security

    267,018,150 ریال
    خرید
  • Kaspersky Small Office Security

    97,236,825 ریال194,473,650 ریال
    خرید
  • Kaspersky Small Office Security

    311,007,900 ریال
    خرید
  • Kaspersky Small Office Security

    111,128,325 ریال222,256,650 ریال
    خرید
  • Kaspersky Small Office Security

    355,769,400 ریال
    خرید
  • Kaspersky Small Office Security

    125,019,825 ریال250,039,650 ریال
    خرید
  • Kaspersky Small Office Security

    399,759,150 ریال
    خرید
  • Kaspersky Small Office Security

    127,335,075 ریال254,670,150 ریال
    خرید
  • Kaspersky Small Office Security

    407,476,650 ریال
    خرید
  • Kaspersky Small Office Security

    179,428,200 ریال358,856,400 ریال
    خرید
  • Kaspersky Small Office Security

    574,174,650 ریال
    خرید
  • Kaspersky Small Office Security

    231,521,325 ریال463,042,650 ریال
    خرید
  • Kaspersky Small Office Security

    740,872,650 ریال
    خرید
  • Kaspersky Small Office Security

    279,755,700 ریال559,511,400 ریال
    خرید
  • Kaspersky Small Office Security

    895,222,650 ریال
    خرید
  • Kaspersky Small Office Security

    530,574,450 ریال1,061,148,900 ریال
    خرید
  • Kaspersky Small Office Security

    1,697,842,650 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد