Инструкция по эффективной настройке анализа журналов ОС Windows в Kaspersky Industrial CyberSecurity for Nodes 4.5
Введение
Журналы событий Windows — один из самых ценных источников данных для обнаружения атак и расследования инцидентов. Каждое действие в системе — от входа пользователя до изменения политик безопасности — оставляет след в виде событий с уникальными идентификаторами (Event ID). Однако поток событий на промышленном узле может быть огромным, и задача специалиста по информационной безопасности — настроить мониторинг так, чтобы вовремя замечать критические аномалии, не утопая в информационном шуме.
Компонент Анализ журналов в Kaspersky Industrial CyberSecurity for Nodes 4.5 предоставляет встроенные механизмы для решения этой задачи. В этой статье мы разберём, как эффективно настроить этот компонент, на какие события ОС Windows обращать внимание в первую очередь и как интерпретировать их последовательности для выявления атак.
1. Что такое «Анализ журналов» в KICS for Nodes 4.5
Компонент Анализ журналов контролирует целостность защищаемой среды на основе журналов событий Windows. При обнаружении признаков нетипичного поведения в системе приложение информирует администратора, так как это поведение может указывать на попытки кибератак.
KICS for Nodes анализирует журналы событий Windows и выявляет нарушения в соответствии с правилами двух типов:
- Предустановленные правила — используют эвристический анализ для обнаружения аномалий.
- Пользовательские правила — позволяют задать собственные критерии срабатывания на основе идентификаторов событий (Event ID) и источников журналов.
При срабатывании любого правила приложение создаёт событие со статусом «Критическое», что обеспечивает чёткую видимость угроз в общем потоке событий.
2. Предустановленные правила: что контролировать по умолчанию
В KICS for Nodes 4.5 доступно семь предустановленных правил. Их нельзя удалить, но можно включать, выключать и настраивать пороговые значения.
|
Правило |
Что обнаруживает |
|
Обнаружена возможная попытка взлома пароля с помощью подбора |
Многократные неудачные попытки входа (брутфорс, подбор пароля) |
|
Обнаружена подозрительная активность во время сетевого сеанса входа |
Входы в нерабочее время или с необычных адресов |
|
Обнаружены признаки компрометации журналов Windows |
Очистка или изменение журналов аудита |
|
Обнаружена подозрительная активность со стороны новой установленной службы |
Появление новых служб — признак сохранения доступа (persistence) |
|
Обнаружена подозрительная аутентификация с явным указанием учетных данных |
Использование явных учётных данных (например, в скриптах) |
|
Обнаружены признаки атаки Kerberos forged PAC (MS14-068) |
Попытка эскалации привилегий через уязвимость Kerberos |
|
Обнаружены подозрительные изменения привилегированной группы Администраторы |
Несанкционированное добавление пользователей в группу Administrators |
Ключевые настраиваемые параметры
Для правила «Обнаружена возможная попытка взлома пароля с помощью подбора» можно задать:
- Количество попыток (по умолчанию — 10)
- Промежуток времени (по умолчанию — 300 секунд)
Это позволяет адаптировать правило под конкретную среду: например, для серверов с высокой интенсивностью ошибочных вводов можно увеличить порог, чтобы снизить число ложных срабатываний.
Для правила «Обнаружена подозрительная активность во время сетевого сеанса входа» можно:
- Задать временной интервал, в течение которого все попытки входа считаются аномальными (например, с 00:00 до 06:00)
- Сформировать списки доверенных пользователей и IP-адресов (IPv4 и IPv6), для которых правило не срабатывает
3. Пользовательские правила: гибкость под ваши задачи
Если предустановленных правил недостаточно, вы можете добавить собственные правила на основе конкретных Event ID.
Для создания пользовательского правила необходимо указать:
- Имя правила — понятное описание того, что оно отслеживает.
- Имя журнала — доступны стандартные журналы: Application, Security, System, а также журналы сторонних приложений (например, Windows PowerShell).
- Идентификаторы событий — один или несколько Event ID, при появлении которых правило срабатывает.
Важно: Приложение не проверяет фактическое наличие заданного журнала. Если название журнала введено с ошибкой, правило не будет работать.
4. Критические события Windows: что мониторить в первую очередь
Принимая во внимание особенности работы промышленных систем, можно выделить следующие категории событий, которые имеют наибольшую ценность для обнаружения атак.
4.1. Аутентификация и вход в систему
|
Event ID |
Описание |
Почему важно |
|
4624 |
Успешный вход в систему |
Позволяет отслеживать необычные входы (время, источник, учётная запись) |
|
4625 |
Неудачная попытка входа |
Основной индикатор брутфорса и подбора паролей |
|
4648 |
Вход с явными учётными данными |
Может указывать на использование украденных или скомпрометированных учётных данных |
|
4672 |
Вход с правами администратора |
Повышение привилегий — критическое событие |
|
4740 |
Блокировка учётной записи |
Может свидетельствовать о целенаправленной атаке или сбое в автоматизации |
4.2. Управление учётными записями и группами
|
Event ID |
Описание |
Почему важно |
|
4720 |
Создание учётной записи пользователя |
Несанкционированное создание учётных записей — признак сохранения доступа |
|
4728 / 4732 |
Добавление пользователя в группу с правами администратора |
Эскалация привилегий — один из ключевых этапов атаки |
|
4735 |
Изменение локальной группы |
Может указывать на модификацию политик безопасности |
|
4756 |
Добавление пользователя в группу с правами администратора |
Аналогично 4728/4732 |
4.3. Изменения политик и системные события
|
Event ID |
Описание |
Почему важно |
|
1102 |
Очистка журнала аудита |
Попытка скрыть следы атаки |
|
4719 |
Изменение политики аудита |
Может использоваться для отключения аудита критических событий |
|
4616 |
Изменение системного времени |
Используется для «размытия» временных меток событий |
4.4. Доступ к объектам и привилегированные операции
|
Event ID |
Описание |
Почему важно |
|
4660 |
Удаление объекта |
Удаление критических файлов или ключей реестра |
|
4674 |
Попытка операции с привилегированным объектом |
Может указывать на попытку получения несанкционированного доступа |
4.5. Процессы и скрипты
|
Event ID |
Описание |
Почему важно |
|
4104 |
Ведение журнала блоков скриптов PowerShell |
Позволяет обнаруживать выполнение вредоносных скриптов |
4.6. Дополнительные события для мониторинга сохранения доступа (Persistence)
|
Event ID |
Описание |
|
4698 |
Создание запланированной задачи |
|
4699 |
Удаление запланированной задачи |
|
4700 |
Включение запланированной задачи |
|
4701 |
Выключение запланированной задачи |
|
4702 |
Обновление запланированной задачи |
Эти события часто сопутствуют закреплению злоумышленника в системе после первоначального проникновения.
5. Рекомендации по настройке политик аудита Windows
Для корректной работы Анализа журналов необходимо, чтобы политика аудита безопасности была настроена и система регистрировала нужные события.
Рекомендуемый минимальный набор категорий аудита:
|
Категория аудита |
Подкатегория |
Рекомендация |
|
Audit Account Logon |
Audit Kerberos Authentication Service |
Успех и неудача |
|
Audit Account Management |
Audit User Account Management, Audit Security Group Management |
Успех и неудача |
|
Audit Logon |
Audit Logon |
Успех и неудача |
|
Audit Object Access |
Audit File System, Audit Registry |
Успех и неудача (для критических объектов) |
|
Audit Policy Change |
Audit Policy Change |
Успех |
|
Audit Privilege Use |
Audit Sensitive Privilege Use |
Успех и неудача |
|
Audit System |
Audit Security State Change, Audit System Integrity |
Успех |
Подробные инструкции по настройке аудита доступны в документации Microsoft.
7. Интеграция с SIEM и централизованное хранение
KICS for Nodes 4.5 поддерживает отправку событий в SIEM-системы. Это позволяет:
- Централизованно хранить события со всех промышленных узлов.
- Коррелировать события из разных источников.
- Использовать возможности SIEM для углублённого анализа.
Для настройки отправки в SIEM:
- В политике KICS for Nodes перейдите в раздел Журналы и уведомления → Интеграция с SIEM.
- Укажите адрес SIEM-сервера, порт и протокол.
- При необходимости настройте фильтрацию событий, чтобы в SIEM передавались только критически важные события.
Заключение
Эффективная настройка анализа журналов в Kaspersky Industrial CyberSecurity for Nodes 4.5 — это не разовое действие, а непрерывный процесс, требующий понимания как возможностей самого продукта, так и природы угроз для промышленных систем.
Промышленные системы требуют особого внимания к балансу между безопасностью и стабильностью технологического процесса. Настройка анализа журналов должна быть соразмерна рискам: слишком строгие правила могут породить шум, слишком слабые — пропустить атаку. Начните с предустановленных правил, постепенно уточняйте их и добавляйте пользовательские — и вы получите эффективный инструмент раннего обнаружения угроз в вашей промышленной сети.
No comments to display
No comments to display