𝗗𝗮𝗻𝗶𝗮𝗹 𝗔𝗯𝗯𝗮𝘀𝗶 – 𝗜𝗧 𝗦𝗽𝗲𝗰𝗶𝗮𝗹𝗶𝘀𝘁

بیست و پنچ رویداد مهم برای مرکز عملیات امنیت

امنیتروزنوشت...
  1. شناسه رویداد ۴۶۲۴ ورود موفق (Successful Logon)
  • آنچه نشان می‌دهد: ورود موفق به یک سیستم را ثبت می‌کند.
  • چرا مهم است: برای شناسایی اینکه آیا یک کاربر قانونی یا مهاجم غیرمجاز به سیستم دسترسی پیدا کرده است، ضروری است.
  • نحوه استفاده تحلیلگران: تحلیلگران این رویدادها را ردیابی می‌کنند تا تأیید کنند که آیا ورودها از کاربران مجاز صورت می‌گیرد و آیا زمان‌ها، مکان‌ها یا روش‌های ورود با رفتار معمول کاربر مطابقت دارند.
  • نمونه مورد استفاده: هنگامی که کاربری از مکانی غیرمعمول (مثلاً کشوری دیگر) وارد می‌شود، هشداری فعال می‌شود که ممکن است نشان‌دهنده به خطر افتادن حساب باشد.
  • کاهش خطر/پیشگیری (Mitigation): احراز هویت چند عاملی (MFA) را پیاده‌سازی کنید، برای دسترسی از راه دور از VPN استفاده کنید و سیاست‌های قوی رمز عبور را اعمال کنید.
  • کشف/شناسایی (Detection): برای ورودهایی که از آدرس‌های IP غیرمعمول، مکان‌های جغرافیایی یا از حساب‌هایی که به ندرت از راه دور وارد می‌شوند، هشدار تنظیم کنید.
  1. شناسه رویداد ۴۶۲۵ ورود ناموفق (Failed Logon)
  • آنچه نشان می‌دهد: تلاش‌های ورود ناموفق، که اغلب به دلیل اعتبارنامه‌های نادرست هستند، را ثبت می‌کند.
  • چرا مهم است: ورودهای ناموفق مکرر می‌تواند نشان‌دهنده حملات جستجوی فراگیر (Brute-Force) یا تزریق اعتبارنامه (Credential Stuffing) باشد.
  • نحوه استفاده تحلیلگران: تحلیلگران تلاش‌های ورود ناموفق را برای شناسایی الگوهای غیرعادی ورود، به ویژه اگر از آدرس‌های IP ناآشنا یا در لیست سیاه می‌آیند، نظارت می‌کنند.
  • نمونه مورد استفاده: چندین تلاش ناموفق برای ورود به یک حساب با امتیاز بالا (مدیر، ریشه) شناسایی می‌شود، که ممکن است نشان‌دهنده تلاش مهاجم برای نفوذ از طریق جستجوی فراگیر باشد.
  • کاهش خطر/پیشگیری (Mitigation): سیاست‌های قفل کردن حساب را پس از تعداد مشخصی از تلاش‌های ناموفق تنظیم کرده و MFA را الزامی کنید.
  • کشف/شناسایی (Detection): بر روی تلاش‌های ورود ناموفق متعدد در یک دوره زمانی کوتاه، به ویژه برای حساب‌های ممتاز، هشدار تنظیم کنید.
  1. شناسه رویداد ۴۶۴۸ تلاش برای ورود با استفاده از اعتبارنامه‌های صریح (Logon Attempt Using Explicit Credentials)
  • آنچه نشان می‌دهد: این رویداد زمانی ثبت می‌شود که یک فرآیند یا سرویس با استفاده از اعتبارنامه‌های صریح، مانند اعتبارنامه‌های ارائه شده برای یک منبع شبکه، وارد سیستم می‌شود.
  • چرا مهم است: می‌تواند نشان‌دهنده حرکت جانبی (Lateral Movement) یا افزایش امتیازات باشد که در آن اعتبارنامه‌ها به صراحت برای دسترسی به سیستم ارسال می‌شوند.
  • نحوه استفاده تحلیلگران: این ورودها را برای سیستم‌ها یا حساب‌های غیرمعمولی که به آنها دسترسی پیدا می‌شود، به‌ویژه در ساعات غیراداری، نظارت کنید.
  • نمونه مورد استفاده: یک مهاجم یک حساب را به خطر انداخته و از اعتبارنامه‌های صریح برای حرکت جانبی در شبکه استفاده می‌کند.
  • کاهش خطر/پیشگیری (Mitigation): از کنترل‌های دسترسی با کمترین امتیاز (Least Privilege) استفاده کنید و استفاده از اعتبارنامه‌های صریح را فقط به سرویس‌های ضروری محدود کنید.
  • کشف/شناسایی (Detection): برای استفاده از اعتبارنامه‌های صریح برای منابع حساس در خارج از فعالیت‌های معمول تجاری، هشدار تنظیم کنید.
  1. شناسه رویداد ۴۶۷۲ اعطای امتیازات ویژه به ورود جدید (Special Privileges Assigned to New Logon)
  • آنچه نشان می‌دهد: زمانی ثبت می‌شود که امتیازات ویژه‌ای، مانند حقوق مدیر، به یک ورود جدید اختصاص داده می‌شود.
  • چرا مهم است: ردیابی می‌کند که چه زمانی حساب‌ها به سیستم‌های حیاتی دسترسی ممتاز پیدا می‌کنند، که می‌تواند نشان‌دهنده سوء استفاده یا افزایش امتیازات باشد.
  • نحوه استفاده تحلیلگران: مراقب تخصیص امتیازات ویژه جدید یا غیرمنتظره باشید که می‌تواند نشان‌دهنده حرکت جانبی یا افزایش امتیازات باشد.
  • نمونه مورد استفاده: یک حساب کاربری عادی به طور غیرمنتظره‌ای امتیازات مدیر دریافت می‌کند، که می‌تواند نشانه‌ای از سرقت اعتبارنامه یا رفتار مخرب باشد.
  • کاهش خطر/پیشگیری (Mitigation): دسترسی ممتاز را به پرسنل ضروری محدود کنید و اطمینان حاصل کنید که نقش‌های کاربری به طور منظم بررسی می‌شوند.
  • کشف/شناسایی (Detection): زمانی که امتیازات ویژه به حساب‌های غیرمدیریتی یا در زمان‌های غیرمعمول اعطا می‌شود، هشدار دهید.
  1. شناسه رویداد ۴۶۳۴ خروج (Logoff)
  • آنچه نشان می‌دهد: رویدادهای خروج را ثبت می‌کند، و نشان می‌دهد که کاربر با موفقیت از سیستم خارج شده است.
  • چرا مهم است: رویدادهای خروج تضمین می‌کنند که نشست‌ها به طور ایمن بسته می‌شوند و به نظارت بر زمانی که کاربران به طور غیرمنتظره وارد سیستم باقی می‌مانند، کمک می‌کنند.
  • نحوه استفاده تحلیلگران: تحلیلگران رویدادهای خروج را نظارت می‌کنند تا ردیابی کنند که آیا حساب‌ها طولانی‌تر از حد انتظار وارد سیستم باقی می‌مانند یا آیا فعالیت‌های خروج غیرمجاز رخ می‌دهد.
  • نمونه مورد استفاده: یک کاربر در ساعات کاری به طور غیرمنتظره‌ای از سیستم خارج می‌شود، که می‌تواند نشان‌دهنده ربایش نشست (Session Hijack) یا خاتمه غیرعادی باشد.
  • کاهش خطر/پیشگیری (Mitigation): سیاست‌های خروج مبتنی بر زمان را تنظیم کنید و برای عدم فعالیت، زمان‌بندی نشست را اعمال کنید.
  • کشف/شناسایی (Detection): برای رویدادهای خروجی که در آن حساب‌ها فراتر از مدت زمان معمول نشست فعال هستند، هشدار تنظیم کنید.
  1. شناسه رویداد ۴۶۸۸ یک فرآیند جدید ایجاد شده است (A New Process Has Been Created)
  • آنچه نشان می‌دهد: نشان می‌دهد که یک فرآیند جدید در سیستم ایجاد شده است.
  • چرا مهم است: ایجاد فرآیندها می‌تواند نشان‌دهنده آغاز فعالیت‌های بالقوه مخرب مانند بدافزار یا اسکریپت‌های غیرمجاز باشد.
  • نحوه استفاده تحلیلگران: تحلیلگران ایجاد فرآیندها را، به ویژه آن‌هایی که از مکان‌های ناشناخته یا غیرقابل اعتماد سرچشمه می‌گیرند، ردیابی می‌کنند.
  • نمونه مورد استفاده: یک فرآیند مشکوک توسط یک کاربر غیرمجاز ایجاد می‌شود، که معمولاً با بدافزارهایی مانند باج‌افزار مرتبط است.
  • کاهش خطر/پیشگیری (Mitigation): از ابزارهای کشف و پاسخ نقطه پایانی (EDR) برای مسدود کردن فرآیندهای غیرمجاز استفاده کنید و لیست سفید (whitelist) شناخته شده‌ای را حفظ کنید.
  • کشف/شناسایی (Detection): برای ایجاد فرآیند از مکان‌های غیرمعمول یا فایل‌های اجرایی غیرمعمول، مانند آن‌هایی که در پوشه‌های موقت یا مسیرهای ناشناخته قرار دارند، هشدار تنظیم کنید.
  1. شناسه رویداد ۴۶۸۹ یک فرآیند پایان یافته است (A Process Has Ended)
  • آنچه نشان می‌دهد: خاتمه یک فرآیند را ثبت می‌کند.
  • چرا مهم است: فرآیندهای خاتمه یافته، به ویژه فرآیندهای حیاتی امنیتی، می‌توانند نشان‌دهنده تلاش مهاجم برای پنهان کردن ردهای فعالیت خود باشند.
  • نحوه استفاده تحلیلگران: تحلیلگران فرآیندهای خاتمه یافته را ردیابی می‌کنند تا مواردی را شناسایی کنند که فرآیندهای مهم به زور توسط عوامل مخرب متوقف یا دچار خرابی شده‌اند.
  • نمونه مورد استفاده: یک مهاجم نرم‌افزار آنتی‌ویروس یا فرآیندهای نظارت بر سیستم را برای جلوگیری از کشف متوقف می‌کند.
  • کاهش خطر/پیشگیری (Mitigation): دسترسی به فرآیندهای حیاتی سیستم را محدود کنید و تنظیمات امنیتی قوی را حفظ کنید.
  • کشف/شناسایی (Detection): زمانی که فرآیندهای کلیدی امنیتی به طور غیرمنتظره‌ای خاتمه می‌یابند یا زمانی که چندین فرآیند به سرعت پشت سر هم پایان می‌یابند، هشدار دهید.
  1. شناسه رویداد ۵۱۵۶ اتصال پلتفرم فیلترینگ ویندوز مجاز است (Windows Filtering Platform Connection Allowed)
  • آنچه نشان می‌دهد: زمانی ثبت می‌شود که یک اتصال توسط پلتفرم فیلترینگ ویندوز (WFP)، مانند طریق فایروال یا فیلتر شبکه، مجاز دانسته می‌شود.
  • چرا مهم است: این رویداد به نظارت و تأیید اتصالات قانونی کمک می‌کند و به تحلیلگران امکان می‌دهد ترافیک غیرمجاز یا مشکوک را شناسایی کنند.
  • نحوه استفاده تحلیلگران: تحلیلگران SOC از آن برای تأیید ترافیک مجاز به سیستم‌های حیاتی، به ویژه اگر از منابع غیرمنتظره یا غیرمجاز می‌آید، استفاده می‌کنند.
  • نمونه مورد استفاده: یک کاربر قانونی به سیستمی متصل می‌شود، اما اگر اتصال از یک IP خارجی یا منبع ناآشنا باشد، شک و تردید ایجاد می‌شود.
  • کاهش خطر/پیشگیری (Mitigation): تنظیمات فایروال را به طور منظم بررسی کنید و خدمات و پورت‌های غیرضروری را محدود کنید.
  • کشف/شناسایی (Detection): بر روی اتصالات مجاز به سیستم‌ها یا سرویس‌های حساس از منابع ناشناخته یا خارجی هشدار دهید.
  1. شناسه رویداد ۵۱۵۸ اتصال پلتفرم فیلترینگ ویندوز مسدود شده است (Windows Filtering Platform Connection Blocked)
  • آنچه نشان می‌دهد: زمانی را ثبت می‌کند که WFP یک اتصال را مسدود می‌کند، مانند زمانی که اتصال قوانین فیلترینگ شبکه را نقض می‌کند.
  • چرا مهم است: مسدود کردن اتصالات شبکه یک مکانیسم دفاعی کلیدی است که ترافیک بالقوه مخرب را از رسیدن به سیستم‌های داخلی باز می‌دارد.
  • نحوه استفاده تحلیلگران: تحلیلگران اتصالات مسدود شده را برای کشف تلاش‌های ترافیک مخرب احتمالی نظارت می‌کنند.
  • نمونه مورد استفاده: یک مهاجم تلاش می‌کند به سرور C2 (فرمان و کنترل) متصل شود اما توسط فایروال مسدود می‌شود.
  • کاهش خطر/پیشگیری (Mitigation): قوانین فایروال را به طور منظم بررسی و به‌روزرسانی کنید تا IPهای مخرب شناخته شده و انواع ترافیک را مسدود کنید.
  • کشف/شناسایی (Detection): زمانی که زیرساخت‌های حیاتی مورد تلاش‌های اتصال از IPهای مخرب شناخته شده یا منابع غیرمنتظره قرار می‌گیرد، هشدار تنظیم کنید.
  1. شناسه رویداد ۱۱۰۲ گزارش حسابرسی پاک شد (The Audit Log Was Cleared)
  • آنچه نشان می‌دهد: این رویداد نشان می‌دهد که گزارش حسابرسی امنیتی پاک شده است، که می‌تواند پرچم قرمزی برای فعالیت مخرب باشد.
  • چرا مهم است: مهاجمان اغلب گزارش‌ها را پاک می‌کنند تا ردهای خود را پس از اجرای حمله پنهان کنند. این رویداد برای تشخیص دستکاری یا فعالیت پس از بهره‌برداری حیاتی است.
  • نحوه استفاده تحلیلگران: تحلیلگران هرگونه تلاش برای پاک کردن گزارش‌ها را از نزدیک نظارت می‌کنند، زیرا این امر نشان‌دهنده تلاشی برای پنهان کردن رفتار مخرب است.
  • نمونه مورد استفاده: پس از یک حمله موفق، یک مهاجم گزارش‌ها را پاک می‌کند تا هرگونه شواهد اقدامات خود را محو کند.
  • کاهش خطر/پیشگیری (Mitigation): دسترسی به گزارش‌های امنیتی را محدود کنید و ثبت گزارش‌ها را به گونه‌ای پیکربندی کنید که از پاک شدن جلوگیری شود.
  • کشف/شناسایی (Detection): زمانی که پاک کردن گزارش رخ می‌دهد، به ویژه توسط حساب‌هایی که معمولاً امتیازات پاک کردن گزارش را ندارند، هشدار دهید.
  1. شناسه رویداد ۴۷۲۰ یک حساب کاربری ایجاد شد (A User Account Was Created)
  • آنچه نشان می‌دهد: ایجاد یک حساب کاربری جدید را ثبت می‌کند.
  • چرا مهم است: ایجاد یک حساب کاربری جدید بدون مجوز مناسب ممکن است نشان‌دهنده راه‌اندازی یک درب پشتی (backdoor) یا دسترسی پایدار توسط مهاجم باشد.
  • نحوه استفاده تحلیلگران: تحلیلگران ایجاد حساب‌های کاربری را نظارت می‌کنند، به ویژه زمانی که خارج از رویه‌های معمول کسب و کار است.
  • نمونه مورد استفاده: یک مهاجم پس از به خطر انداختن یک سیستم، یک حساب مدیر جدید ایجاد می‌کند تا کنترل محیط را حفظ کند.
  • کاهش خطر/پیشگیری (Mitigation): ایجاد حساب‌های کاربری را به طور منظم بررسی کنید و کنترل‌های سخت‌گیرانه‌ای را بر مدیریت حساب اعمال کنید.
  • کشف/شناسایی (Detection): برای ایجاد حساب کاربری غیرمنتظره یا حساب‌هایی با امتیازات مدیریتی، هشدار تنظیم کنید.
  1. شناسه رویداد ۴۷۲۶ یک حساب کاربری حذف شد (A User Account Was Deleted)
  • آنچه نشان می‌دهد: حذف یک حساب کاربری را ثبت می‌کند.
  • چرا مهم است: حذف حساب‌ها می‌تواند توسط مهاجمان برای پاک کردن ردهای حضور خود یا غیرفعال کردن کنترل‌های امنیتی استفاده شود.
  • نحوه استفاده تحلیلگران: تحلیلگران هرگونه حذف حساب، به ویژه برای حساب‌های ممتاز، را نظارت می‌کنند.
  • نمونه مورد استفاده: یک مهاجم یک حساب کاربری را که به خطر افتاده بود حذف می‌کند تا شواهد حضور خود را از بین ببرد.
  • کاهش خطر/پیشگیری (Mitigation): توانایی حذف حساب‌ها را فقط به مدیران مجاز محدود کنید.
  • کشف/شناسایی (Detection): برای هرگونه حذف حساب غیرمنتظره یا حذف حساب‌های با امتیاز بالا، هشدار تنظیم کنید.
  1. شناسه رویداد ۴۷۳۲ عضوی به گروه محلی امنیتی فعال اضافه شد (A Member Was Added to a Security-Enabled Local Group)
  • آنچه نشان می‌دهد: این رویداد زمانی ثبت می‌شود که کاربری به یک گروه محلی امنیتی فعال اضافه می‌شود.
  • چرا مهم است: تغییرات تأیید نشده در عضویت گروه می‌تواند نشان‌دهنده افزایش امتیازات یا کسب دسترسی غیرمجاز به منابع توسط مهاجم باشد.
  • نحوه استفاده تحلیلگران: تحلیلگران تغییرات در عضویت گروه را برای تشخیص هرگونه ارتقاء غیرمجاز امتیازات ردیابی می‌کنند.
  • نمونه مورد استفاده: یک مهاجم خود را به گروهی با امتیازات مدیریتی اضافه می‌کند تا کنترل بر سیستم را افزایش دهد.
  • کاهش خطر/پیشگیری (Mitigation): عضویت گروه را به طور منظم بررسی کنید و تغییرات عضویت را به مدیران مورد اعتماد محدود کنید.
  • کشف/شناسایی (Detection): برای اضافه‌شدن‌ها به گروه‌های حساس یا ممتاز، هشدار تنظیم کنید.
  1. شناسه رویداد ۴۷۳۸ یک حساب کاربری تغییر یافت (A User Account Was Changed)
  • آنچه نشان می‌دهد: این رویداد نشان می‌دهد که یک حساب کاربری موجود تغییر یافته است، مانند تغییر رمز عبور یا تغییر در عضویت گروه.
  • چرا مهم است: تغییرات حساب، به ویژه بدون مجوز مناسب، می‌تواند نشان‌دهنده سوء استفاده از حساب‌های ممتاز یا فعالیت مهاجم باشد.
  • نحوه استفاده تحلیلگران: تحلیلگران از آن برای تشخیص تغییرات غیرمجاز در حساب‌های کاربری، به ویژه آن‌هایی که امتیازات بالایی دارند، استفاده می‌کنند.
  • نمونه مورد استفاده: یک مهاجم رمز عبور یک حساب به خطر افتاده را تغییر می‌دهد تا از کشف جلوگیری کند.
  • کاهش خطر/پیشگیری (Mitigation): سیاست‌های قوی رمز عبور را پیاده‌سازی کنید و اطمینان حاصل کنید که تغییرات در حساب‌های حیاتی ثبت و بررسی می‌شوند.
  • کشف/شناسایی (Detection): زمانی که ویژگی‌های حساب حساس تغییر می‌یابند، به ویژه اگر خارج از ساعات کاری عادی انجام شود، هشدار تنظیم کنید.
  1. شناسه رویداد ۴۷۴۰ یک حساب کاربری قفل شد (A User Account Was Locked Out)
  • آنچه نشان می‌دهد: این رویداد زمانی ثبت می‌شود که یک حساب کاربری به دلیل تجاوز از تعداد مجاز تلاش‌های ورود ناموفق قفل می‌شود.
  • چرا مهم است: قفل شدن حساب اغلب به دلیل تلاش‌های جستجوی فراگیر یا تزریق اعتبارنامه رخ می‌دهد که نشان‌دهنده رفتار مخرب بالقوه است.
  • نحوه استفاده تحلیلگران: تحلیلگران این رویدادها را برای تشخیص حملات جستجوی فراگیر و الگوهای غیرعادی قفل شدن حساب نظارت می‌کنند.
  • نمونه مورد استفاده: یک حمله جستجوی فراگیر پس از چندین تلاش ورود ناموفق، یک حساب کاربری را قفل می‌کند.
  • کاهش خطر/پیشگیری (Mitigation): سیاست‌های قفل کردن حساب را اعمال کنید و از CAPTCHA یا MFA برای جلوگیری از حملات خودکار استفاده کنید.
  • کشف/شناسایی (Detection): برای قفل شدن‌های متعدد حساب، به ویژه از همان منبع یا روی حساب‌های با امتیاز بالا، هشدار تنظیم کنید.
  1. شناسه رویداد ۴۷۵۶ عضوی به گروه سراسری امنیتی فعال اضافه شد (A Member Was Added to a Security-Enabled Global Group)
  • آنچه نشان می‌دهد: این رویداد زمانی ثبت می‌شود که عضوی به یک گروه سراسری امنیتی فعال اضافه می‌شود.
  • چرا مهم است: تغییرات در عضویت گروه‌های سراسری می‌تواند بر کنترل‌های دسترسی تأثیر بگذارد و اضافه‌شدن‌های غیرمجاز می‌تواند نشان‌دهنده فعالیت مخرب باشد.
  • نحوه استفاده تحلیلگران: تحلیلگران این رویداد را ردیابی می‌کنند تا اطمینان حاصل کنند که گروه‌های سراسری حساس توسط کاربران غیرمجاز تغییر داده نمی‌شوند.
  • نمونه مورد استفاده: یک مهاجم خود را به گروهی با مجوزهای گسترده اضافه می‌کند، که می‌تواند امکان دسترسی به داده‌های حساس را فراهم کند.
  • کاهش خطر/پیشگیری (Mitigation): عضویت گروه‌های سراسری را به طور منظم بررسی کنید و اطمینان حاصل کنید که فقط پرسنل مجاز می‌توانند تغییرات ایجاد کنند.
  • کشف/شناسایی (Detection): برای تغییرات در گروه‌های سراسری، به ویژه در گروه‌های حساس مانند “Domain Admins”، هشدار تنظیم کنید.
  1. شناسه رویداد ۴۷۶۸ درخواست Kerberos TGT (A Kerberos Authentication Ticket (TGT) Was Requested)
  • آنچه نشان می‌دهد: این رویداد زمانی ثبت می‌شود که کاربری یک Ticket Granting Ticket (TGT) را از مرکز توزیع کلید کربروس (KDC) درخواست می‌کند.
  • چرا مهم است: درخواست‌های TGT بخش حیاتی فرآیند احراز هویت هستند و می‌توانند هدف مهاجمانی باشند که تلاش می‌کنند کاربران را ربوده یا هویتشان را جعل کنند.
  • نحوه استفاده تحلیلگران: تحلیلگران درخواست‌های TGT را برای کشف ناهنجاری‌هایی مانند درخواست‌های بلیط غیرمعمول که ممکن است نشان‌دهنده سرقت اعتبارنامه باشد، ردیابی می‌کنند.
  • نمونه مورد استفاده: یک مهاجم از اعتبارنامه‌های سرقت شده برای درخواست TGT برای یک حساب ممتاز استفاده می‌کند و تلاش می‌کند هویت قربانی را جعل کند.
  • کاهش خطر/پیشگیری (Mitigation): برای احراز هویت کربروس از رمزهای عبور قوی استفاده کنید و الگوهای غیرمعمول درخواست TGT را به طور منظم نظارت کنید.
  • کشف/شناسایی (Detection): برای درخواست‌های TGT که از الگوهای استفاده عادی منحرف می‌شوند (مثلاً تعداد زیاد در یک دوره کوتاه)، هشدار تنظیم کنید.
  1. شناسه رویداد ۴۷۶۹ درخواست Service Ticket (A Service Ticket Was Requested)
  • آنچه نشان می‌دهد: زمانی ثبت می‌شود که یک بلیط سرویس برای دسترسی به خدمات شبکه از KDC درخواست می‌شود.
  • چرا مهم است: بلیط‌های سرویس می‌توانند در حملات حرکت جانبی، مانند استفاده از تکنیک‌های Pass-the-Ticket (PTT)، مورد سوء استفاده قرار گیرند.
  • نحوه استفاده تحلیلگران: تحلیلگران از این رویداد برای تشخیص درخواست‌های بلیط سرویس غیرعادی، مانند آن‌هایی که از کاربران یا دستگاه‌های غیرمجاز می‌آیند، استفاده می‌کنند.
  • نمونه مورد استفاده: یک مهاجم بلیط‌های سرویس را برای سیستم‌هایی که معمولاً به آن‌ها دسترسی ندارند، درخواست می‌کند، که اغلب بخشی از یک حمله حرکت جانبی است.
  • کاهش خطر/پیشگیری (Mitigation): درخواست‌های بلیط سرویس غیرمعمول را نظارت کنید و کنترل سخت‌گیرانه‌تری بر صدور بلیط سرویس اعمال کنید.
  • کشف/شناسایی (Detection): زمانی که بلیط‌های سرویس برای سیستم‌هایی که کاربر معمولاً به آن‌ها دسترسی ندارد درخواست می‌شود، هشدار دهید.
  1. شناسه رویداد ۴۷۷۶ رایانه تلاش کرد تا اعتبارنامه‌های یک حساب را اعتبارسنجی کند (The Computer Attempted to Validate the Credentials of an Account)
  • آنچه نشان می‌دهد: این رویداد زمانی ثبت می‌شود که یک رایانه تلاش می‌کند اعتبارنامه‌ها را اعتبارسنجی کند (مثلاً یک ورود).
  • چرا مهم است: این رویدادها برای تشخیص خرابی‌های احراز هویت مرتبط با تلاش‌های دسترسی غیرمجاز مفید هستند.
  • نحوه استفاده تحلیلگران: تحلیلگران این رویداد را برای خرابی‌های اعتبارسنجی اعتبارنامه نظارت می‌کنند تا حملاتی مانند جستجوی فراگیر یا رله NTLM را شناسایی کنند.
  • نمونه مورد استفاده: یک مهاجم مکرراً تلاش می‌کند با استفاده از اعتبارنامه‌های سرقت شده احراز هویت کند تا به سیستم‌های حیاتی دسترسی پیدا کند.
  • کاهش خطر/پیشگیری (Mitigation): کنترل‌های احراز هویت قوی را اعمال کنید و تلاش‌های ورود را برای فعالیت‌های غیرعادی نظارت کنید.
  • کشف/شناسایی (Detection): بر روی تلاش‌های احراز هویت ناموفق هشدار تنظیم کنید و آن‌ها را با رویدادهای دیگر برای نشانگرهای به خطر افتادن همبسته کنید.
  1. شناسه رویداد ۴۷۹۸ عضویت گروه محلی کاربر شمرده شد (A User’s Local Group Membership Was Enumerated)
  • آنچه نشان می‌دهد: زمانی ثبت می‌شود که یک مهاجم یا مدیر، عضویت‌های گروه محلی را برای یک حساب کاربری خاص می‌شمارد.
  • چرا مهم است: شمارش عضویت گروه‌ها می‌تواند بخشی از فاز شناسایی مهاجم برای یافتن اهداف با ارزش بالا باشد.
  • نحوه استفاده تحلیلگران: تحلیلگران مراقب این رویدادها هستند تا هرگونه فعالیت شناسایی با هدف شناسایی گروه‌های ممتاز را تشخیص دهند.
  • نمونه مورد استفاده: یک مهاجم گروه‌های محلی را برای شناسایی حساب‌ها یا سیستم‌های با امتیاز بالا می‌شمارد.
  • کاهش خطر/پیشگیری (Mitigation): با پیاده‌سازی مجوزهای کاربری مناسب، دسترسی به شمارش عضویت گروه را محدود کنید.
  • کشف/شناسایی (Detection): زمانی که شمارش عضویت گروه رخ می‌دهد، به ویژه برای کاربرانی با دسترسی ممتاز، هشدار دهید.
  1. شناسه رویداد ۵۱۴۰ به اشتراک شبکه دسترسی شد (A Network Share Object Was Accessed)
  • آنچه نشان می‌دهد: این رویداد زمانی ثبت می‌شود که از طریق شبکه به یک اشتراک شبکه یا شیء دایرکتوری دسترسی پیدا می‌شود.
  • چرا مهم است: نظارت بر دسترسی به اشتراک شبکه به تشخیص دسترسی غیرمجاز یا فعالیت‌های مشکوک به اشتراک‌گذاری فایل کمک می‌کند.
  • نحوه استفاده تحلیلگران: تحلیلگران این رویداد را برای تشخیص دسترسی غیرمجاز به اشتراک فایل‌ها و داده‌های حیاتی نظارت می‌کنند.
  • نمونه مورد استفاده: یک مهاجم پس از به خطر انداختن حساب کاربری، به فایل‌های حساس ذخیره شده در یک اشتراک شبکه دسترسی پیدا می‌کند.
  • کاهش خطر/پیشگیری (Mitigation): کنترل‌های دسترسی را بر روی اشتراک‌های فایل اعمال کنید و برای دسترسی به داده‌های حساس، احراز هویت مناسب را الزامی کنید.
  • کشف/شناسایی (Detection): بر روی دسترسی به اشتراک‌های حساس یا الگوهای دسترسی غیرمعمول که می‌تواند نشان‌دهنده به خطر افتادن باشد، هشدار دهید.
  1. شناسه رویداد ۵۱۵۲ یک اتصال توسط پلتفرم فیلترینگ ویندوز مسدود شد (A Connection Was Blocked by the Windows Filtering Platform)
  • آنچه نشان می‌دهد: زمانی ثبت می‌شود که یک اتصال توسط پلتفرم فیلترینگ ویندوز مسدود می‌شود، مانند زمانی که قوانین فایروال یا فیلترهای امنیتی از اتصال جلوگیری می‌کنند.
  • چرا مهم است: مسدود کردن اتصالات غیرمجاز به محافظت از سیستم‌های حیاتی در برابر حملات خارجی یا دسترسی غیرمجاز کمک می‌کند.
  • نحوه استفاده تحلیلگران: تحلیلگران اتصالات مسدود شده را برای تشخیص و تأیید ترافیک مخرب یا مشکوک نظارت می‌کنند.
  • نمونه مورد استفاده: یک مهاجم تلاش می‌کند با استفاده از یک آدرس IP مخرب شناخته شده به سیستم دسترسی پیدا کند اما توسط فایروال مسدود می‌شود.
  • کاهش خطر/پیشگیری (Mitigation): قوانین فایروال را به طور منظم بررسی و به‌روزرسانی کنید تا ترافیک مخرب شناخته شده را مسدود کنید.
  • کشف/شناسایی (Detection): زمانی که تلاش برای اتصالات مسدود شده صورت می‌گیرد، به ویژه از منابع غیرقابل اعتماد، هشدار تنظیم کنید.
  1. شناسه رویداد ۵۰۵۸ سرویس مرکز توزیع کلید متوقف شد (Key Distribution Center Service Was Stopped)
  • آنچه نشان می‌دهد: این رویداد زمانی ثبت می‌شود که سرویس مرکز توزیع کلید (KDC) از کار می‌افتد یا دستکاری می‌شود.
  • چرا مهم است: KDC برای احراز هویت کربروس حیاتی است، و متوقف کردن آن می‌تواند به طور جدی بر دسترسی به سیستم تأثیر بگذارد یا حملاتی مانند دستکاری بلیط کربروس را تسهیل کند.
  • نحوه استفاده تحلیلگران: تحلیلگران مراقب اختلالات سرویس KDC هستند زیرا آنها نشان‌دهنده به خطر افتادن یا حمله به سیستم هستند.
  • نمونه مورد استفاده: مهاجمان تلاش می‌کنند سرویس KDC را متوقف کنند تا از آسیب‌پذیری‌های احراز هویت کربروس بهره‌برداری کنند.
  • کاهش خطر/پیشگیری (Mitigation): اطمینان حاصل کنید که سرویس KDC محافظت شده و به طور منظم نظارت می‌شود.
  • کشف/شناسایی (Detection): بر روی توقف یا راه‌اندازی مجدد غیرمنتظره سرویس KDC هشدار دهید.
  • شناسه رویداد ۴۷۰۳ یک حق کاربری اختصاص داده شد (A User Right Was Assigned)
  • آنچه نشان می‌دهد: زمانی ثبت می‌شود که یک حق کاربری (مثلاً اپراتور پشتیبان) به یک حساب اختصاص داده می‌شود.
  • چرا مهم است: تغییرات ناموجه در حقوق کاربری می‌تواند نشان‌دهنده تلاش برای افزایش امتیازات یا سوء استفاده باشد.
  • نحوه استفاده تحلیلگران: تحلیلگران این رویدادها را برای تشخیص تغییرات غیرمنتظره در حقوق کاربری که ممکن است نشان‌دهنده بهره‌برداری باشد، نظارت می‌کنند.
  • نمونه مورد استفاده: یک مهاجم با افزودن خود به حسابی با حقوق کاربری بالا، مانند اپراتور پشتیبان، امتیازات خود را افزایش می‌دهد.
  • کاهش خطر/پیشگیری (Mitigation): اختصاص حقوق کاربری به نقش‌های حساس را محدود و بررسی کنید.
  • کشف/شناسایی (Detection): زمانی که تخصیص حقوق کاربری به حساب‌ها در خارج از عملیات‌های معمول مدیریتی صورت می‌گیرد، هشدار تنظیم کنید.
  1. شناسه رویداد ۴۷۴۳ یک حساب رایانه منتقل شد (A Computer Account Was Moved)
  • آنچه نشان می‌دهد: این رویداد زمانی فعال می‌شود که یک حساب رایانه به یک واحد سازمانی (OU) جدید در اکتیو دایرکتوری (Active Directory) منتقل می‌شود.
  • چرا مهم است: انتقال یک حساب رایانه می‌تواند نشان‌دهنده تلاش مهاجمان برای پنهان کردن سیستم به خطر افتاده از دید یا دستکاری مجوزهای آن باشد.
  • نحوه استفاده تحلیلگران: تحلیلگران این رویداد را برای تشخیص تغییرات غیرمجاز در مکان‌های حساب رایانه در AD نظارت می‌کنند.
  • نمونه مورد استفاده: یک مهاجم یک سیستم به خطر افتاده را به یک OU جداگانه منتقل می‌کند تا در هنگام حسابرسی از کشف جلوگیری کند.
  • کاهش خطر/پیشگیری (Mitigation): مجوزهای انتقال حساب‌های رایانه در اکتیو دایرکتوری را قفل کنید و بازرسی‌های منظم انجام دهید.
  • کشف/شناسایی (Detection): برای تغییرات در مکان‌های حساب رایانه، به ویژه زمانی که شامل سیستم‌هایی باشد که نباید منتقل شوند، هشدار تنظیم کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Fill out this field
Fill out this field
لطفاً یک نشانی ایمیل معتبر بنویسید.
You need to agree with the terms to proceed

فهرست