Log

On Job Training

Windows Log

Powershell Audit Log

Tài liệu: https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.core/about/about_logging_windows?view=powershell-7.4

Các chính sách này chỉ có trên phiên bản Powershell 3.0 trở lên và phải sử dụng Windows Vista/Windows Server 2008 trở lên.

Cách kích hoạt PowerShell Event Audit Log:

1. Mở Group Policy Editor: Nhấn Win + R, gõ gpedit.msc và nhấn Enter.

2. Điều hướng đến: Computer Configuration -> Administrative Templates -> Windows Components -> Windows PowerShell

3. Kích hoạt chính sách: Kích hoạt các chính sách sau:

   • Turn on Module Logging

   • Turn on PowerShell Script Block Logging

   • Turn on Transcripting

1. Turn on Module Logging (EventID 4103):

• Chức năng: Ghi lại tất cả các module PowerShell được import (nhập vào) trong một phiên làm việc.

• Thông tin ghi lại: Tên module, phiên bản, thời gian import.

• Lợi ích:

  • Giúp bạn theo dõi các module nào đang được sử dụng trên hệ thống.

  • Phát hiện các module không mong muốn hoặc độc hại.

  • Hỗ trợ quá trình gỡ lỗi và phân tích sự cố.

2. Turn on PowerShell Script Block Logging (EventID 4104):

• Chức năng: Ghi lại nội dung của các khối lệnh (script block) được thực thi trong PowerShell.

• Thông tin ghi lại: Nội dung đầy đủ của script block, thời gian thực thi.

• Lợi ích:

  • Cung cấp cái nhìn chi tiết về hoạt động của các script PowerShell.

  • Giúp bạn hiểu rõ các thay đổi mà script thực hiện trên hệ thống.

  • Phát hiện các script độc hại hoặc các lệnh nguy hiểm.

3. Turn on Transcripting:

• Chức năng: Ghi lại toàn bộ phiên làm việc PowerShell vào một file text.

• Thông tin ghi lại: Tất cả các lệnh được nhập, kết quả trả về, thông báo lỗi.

• Lợi ích:

  • Tạo bản ghi đầy đủ về các hoạt động PowerShell.

  • Giúp bạn xem lại lịch sử làm việc và kiểm tra các lệnh đã thực thi.

  • Hỗ trợ phân tích sự cố và tìm hiểu nguyên nhân gốc rễ của lỗi.

Security Log

Here is a simple explanation in Vietnamese for each of the security and system events listed:

1. Security 1102 - Nhật ký kiểm toán đã được xóa.

2. Security 4624 - Một tài khoản đã đăng nhập thành công.

3. Security 4625 - Một tài khoản đã không thể đăng nhập.

4. Security 4634 - Đăng xuất thành công.

5. Security 4647 - Đăng xuất thành công.

6. Security 4648 - Chạy một lệnh với quyền khác (Runas).

7. Security 4648 - Đăng nhập với thông tin đăng nhập thay thế - nếu NLA được kích hoạt trên đích.

8. Security 4656 - Yêu cầu quyền truy cập vào một đối tượng.

9. Security 4657 - Một giá trị trong sổ đăng ký đã bị thay đổi.

10. Security 4660 - Một đối tượng đã bị xóa.

11. Security 4661 - Yêu cầu quyền truy cập vào một đối tượng.

12. Security 4662 - Một thao tác đã được thực hiện trên một đối tượng.

13. Security 4663 - Đã có nỗ lực truy cập vào một đối tượng.

14. Security 4670 - Quyền trên một đối tượng đã được thay đổi.

15. Security 4672 - Đăng nhập tài khoản với quyền cao cấp (Quản trị viên).

16. Security 4688 - Một quá trình mới đã được tạo.

17. Security 4689 - Một quá trình đã kết thúc.

18. Security 4697 - Cố gắng cài đặt một dịch vụ.

19. Security 4698 - Một tác vụ định kỳ đã được tạo.

20. Security 4700 - Một tác vụ định kỳ đã được kích hoạt.

21. Security 4701 - Một tác vụ định kỳ đã bị vô hiệu hóa.

22. Security 4702 - Một tác vụ định kỳ đã được cập nhật.

23. Security 4717 - Truy cập bảo mật hệ thống đã được cấp cho một tài khoản.

24. Security 4718 - Truy cập bảo mật hệ thống đã bị thu hồi khỏi một tài khoản.

25. Security 4720 - Một tài khoản người dùng đã được tạo.

26. Security 4722 - Một tài khoản người dùng đã được kích hoạt.

27. Security 4724 - Đã cố gắng đặt lại mật khẩu của tài khoản.

28. Security 4726 - Một tài khoản đã bị xóa.

29. Security 4728 - Một thành viên đã được thêm vào nhóm toàn cầu có kích hoạt bảo mật.

30. Security 4729 - Một thành viên đã bị xóa khỏi nhóm toàn cầu có kích hoạt bảo mật.

31. Security 4732 - Một thành viên đã được thêm vào nhóm cục bộ có kích hoạt bảo mật.

32. Security 4733 - Một thành viên đã bị xóa khỏi nhóm cục bộ có kích hoạt bảo mật.

33. Security 4735 - Nhóm cục bộ có kích hoạt bảo mật đã được thay đổi.

34. Security 4737 - Nhóm toàn cầu có kích hoạt bảo mật đã được thay đổi.

35. Security 4738 - Tài khoản người dùng đã được thay đổi.

36. Security 4742 - Tài khoản máy tính đã được thay đổi.

37. Security 4756 - Một thành viên đã được thêm vào nhóm toàn cầu phổ biến có kích hoạt bảo mật.

38. Security 4767 - Tài khoản người dùng đã được mở khóa.

39. Security 4768 - Đã yêu cầu vé xác thực Kerberos (TGT).

40. Security 4769 - Đã yêu cầu vé dịch vụ Kerberos.

41. Security 4770 - Vé dịch vụ Kerberos đã được gia hạn.

42. Security 4771 - Xác thực trước Kerberos thất bại.

43. Security 4772 - Yêu cầu vé xác thực Kerberos thất bại.

44. Security 4773 - Yêu cầu vé dịch vụ Kerberos thất bại.

45. Security 4776 - Bộ điều khiển miền đã cố gắng xác thực thông tin đăng nhập cho một tài khoản.

46. Security 4788 - Phiên đã được kết nối lại.

47. Security 4789 - Phiên đã bị ngắt kết nối.

48. Security 4798 - Tư cách thành viên nhóm cục bộ của người dùng đã được liệt kê.

49. Security 4799 - Tư cách thành viên nhóm cục bộ có kích hoạt bảo mật đã được liệt kê.

50. Security 4950 - Cài đặt Tường lửa Windows đã thay đổi.

51. Security 4954 - Cài đặt Chính sách Nhóm Tường lửa Windows đã thay đổi. Cài đặt mới đã được áp dụng.

52. Security 4957 - Tường lửa Windows không áp dụng quy tắc sau đây.

53. Security 5136 - Đối tượng dịch vụ thư mục đã bị thay đổi.

54. Security 5137 - Đối tượng dịch vụ thư mục đã được tạo.

55. Security 5138 - Đối tượng dịch vụ thư mục đã được khôi phục.

56. Security 5139 - Đối tượng dịch vụ thư mục đã được di chuyển.

57. Security 5140 - Đối tượng chia sẻ mạng đã được truy cập.

58. Security 5141 - Đối tượng dịch vụ thư mục đã bị xóa.

59. Security 5145 - Đã kiểm tra xem đối tượng chia sẻ mạng có thể cấp quyền truy cập mong muốn cho khách hàng hay không.

60. Security 6416 - Một thiết bị ngoài đã được hệ thống nhận diện.

61. System 104 - Nhật ký kiểm toán đã được xóa.

62. System 7040 - Loại khởi động đã thay đổi.

Sysmon:

Event ID 1: Tạo tiến trình (Process creation) - Sự kiện này cung cấp thông tin mở rộng về một tiến trình mới được tạo. Dòng lệnh đầy đủ cung cấp ngữ cảnh về việc thực thi tiến trình. Trường ProcessGUID là một giá trị duy nhất cho tiến trình này trong toàn bộ miền để giúp việc liên kết sự kiện trở nên dễ dàng hơn. Hash là một giá trị băm đầy đủ của tập tin với các thuật toán trong trường HashType.

Dùng cobalt strike để mở notepad.exe

Event ID 2: Thay đổi thời gian tạo tập tin của một tiến trình (A process changed a file creation time) - Sự kiện này được ghi lại khi thời gian tạo tập tin được thay đổi một cách rõ ràng bởi một tiến trình. Sự kiện này giúp theo dõi thời gian tạo thực sự của một tập tin. Kẻ tấn công có thể thay đổi thời gian tạo của một backdoor để làm cho nó trông như được cài đặt cùng hệ điều hành. Lưu ý rằng nhiều tiến trình hợp pháp cũng thay đổi thời gian tạo của tập tin, điều này không nhất thiết chỉ ra hoạt động độc hại.

Event ID 3: Kết nối mạng (Network connection) - Sự kiện kết nối mạng ghi lại các kết nối TCP/UDP trên máy. Nó bị vô hiệu hóa mặc định. Mỗi kết nối được liên kết với một tiến trình thông qua các trường ProcessId và ProcessGuid. Sự kiện cũng chứa các tên máy chủ nguồn và đích, địa chỉ IP, số cổng và trạng thái IPv6.

Event ID 4: Thay đổi trạng thái dịch vụ Sysmon (Sysmon service state changed) - Sự kiện này báo cáo trạng thái của dịch vụ Sysmon (bắt đầu hoặc dừng).

Event ID 5: Tiến trình kết thúc (Process terminated) - Sự kiện này báo cáo khi một tiến trình kết thúc. Nó cung cấp UtcTime, ProcessGuid và ProcessId của tiến trình.

Event ID 6: Tải trình điều khiển (Driver loaded) - Sự kiện này cung cấp thông tin về một trình điều khiển được tải trên hệ thống. Các giá trị băm được cấu hình cũng như thông tin chữ ký được cung cấp. Chữ ký được tạo không đồng bộ vì lý do hiệu suất và chỉ ra nếu tập tin bị xóa sau khi tải.

Event ID 7: Tải hình ảnh (Image loaded) - Sự kiện này ghi lại khi một mô-đun được tải trong một tiến trình cụ thể. Sự kiện này bị vô hiệu hóa mặc định và cần được cấu hình với tùy chọn "-l". Nó chỉ ra tiến trình trong đó mô-đun được tải, các giá trị băm và thông tin chữ ký. Chữ ký được tạo không đồng bộ vì lý do hiệu suất và chỉ ra nếu tập tin bị xóa sau khi tải. Sự kiện này nên được cấu hình cẩn thận, vì việc giám sát tất cả các sự kiện tải hình ảnh sẽ tạo ra một lượng lớn nhật ký.

Event ID 8: Tạo luồng từ xa (CreateRemoteThread) - Sự kiện này phát hiện khi một tiến trình tạo một luồng trong tiến trình khác. Kỹ thuật này được sử dụng bởi phần mềm độc hại để chèn mã và ẩn trong các tiến trình khác. Sự kiện chỉ ra tiến trình nguồn và đích. Nó cung cấp thông tin về mã sẽ được chạy trong luồng mới: StartAddress, StartModule và StartFunction. Lưu ý rằng các trường StartModule và StartFunction là suy đoán, chúng có thể trống nếu địa chỉ bắt đầu nằm ngoài các mô-đun đã tải hoặc các hàm xuất đã biết.

Event ID 9: Đọc truy cập thô (RawAccessRead) - Sự kiện này phát hiện khi một tiến trình thực hiện các hoạt động đọc từ ổ đĩa sử dụng ký hiệu \.. Kỹ thuật này thường được phần mềm độc hại sử dụng để trích xuất dữ liệu từ các tập tin bị khóa để đọc, cũng như để tránh các công cụ kiểm toán truy cập tập tin. Sự kiện chỉ ra tiến trình nguồn và thiết bị đích.

Event ID 10: Truy cập tiến trình (ProcessAccess) - Sự kiện này báo cáo khi một tiến trình mở một tiến trình khác, một hoạt động thường theo sau là các truy vấn thông tin hoặc đọc và ghi không gian địa chỉ của tiến trình đích. Điều này cho phép phát hiện các công cụ tấn công đọc nội dung bộ nhớ của các tiến trình như Local Security Authority (Lsass.exe) để đánh cắp thông tin đăng nhập cho các cuộc tấn công Pass-the-Hash. Kích hoạt nó có thể tạo ra một lượng lớn nhật ký nếu có các tiện ích chẩn đoán đang hoạt động liên tục mở các tiến trình để truy vấn trạng thái của chúng, vì vậy nên chỉ được thực hiện với các bộ lọc loại bỏ các truy cập dự kiến.

Event ID 11: Tạo tập tin (FileCreate) Các hoạt động tạo tập tin được ghi lại khi một tập tin được tạo hoặc ghi đè. Sự kiện này hữu ích để giám sát các vị trí khởi động tự động, như thư mục Startup, cũng như các thư mục tạm thời và thư mục tải xuống, những nơi mà phần mềm độc hại thường rơi vào trong quá trình lây nhiễm ban đầu.

Event ID 12: Sự kiện Registry (Tạo và xóa đối tượng - Object create and delete) - Các hoạt động tạo và xóa khóa và giá trị Registry tương ứng với loại sự kiện này, có thể hữu ích để giám sát các thay đổi đối với các vị trí khởi động tự động trong Registry hoặc các sửa đổi Registry cụ thể của phần mềm độc hại.

Event ID 13: Sự kiện Registry (Thiết lập giá trị - Value Set) - Loại sự kiện Registry này xác định các sửa đổi giá trị Registry. Sự kiện ghi lại giá trị được ghi cho các giá trị Registry có loại DWORD và QWORD.

Event ID 14: Sự kiện Registry (Đổi tên khóa và giá trị - Key and Value Rename) - Các hoạt động đổi tên khóa và giá trị Registry tương ứng với loại sự kiện này, ghi lại tên mới của khóa hoặc giá trị đã được đổi tên.

Event ID 15: Băm luồng tạo tập tin (FileCreateStreamHash) - Sự kiện này ghi lại khi một luồng tên tập tin được tạo, và nó tạo ra các sự kiện ghi lại giá trị băm của nội dung tập tin mà luồng được gán (luồng không tên), cũng như nội dung của luồng đã đặt tên. Có các biến thể phần mềm độc hại thả tập tin thực thi hoặc cài đặt cấu hình thông qua tải xuống trình duyệt, và sự kiện này nhằm bắt lấy điều đó dựa trên việc trình duyệt gắn thẻ Zone.Identifier "dấu hiệu của web".

Event ID 16: Thay đổi cấu hình dịch vụ (ServiceConfigurationChange) - Sự kiện này ghi lại các thay đổi trong cấu hình Sysmon - ví dụ như khi các quy tắc lọc được cập nhật.

Event ID 17: Sự kiện ống dẫn (Ống dẫn được tạo - Pipe Created) - Sự kiện này được tạo ra khi một ống dẫn tên được tạo. Phần mềm độc hại thường sử dụng ống dẫn tên để giao tiếp giữa các tiến trình.

Event ID 18: Sự kiện ống dẫn (Kết nối ống dẫn - Pipe Connected) - Sự kiện này ghi lại khi một kết nối ống dẫn tên được thực hiện giữa một máy khách và một máy chủ.

Event ID 19: Sự kiện WMI (Phát hiện hoạt động WmiEventFilter) - Khi một bộ lọc sự kiện WMI được đăng ký, điều này là một phương pháp được phần mềm độc hại sử dụng để thực thi, sự kiện này ghi lại không gian tên WMI, tên bộ lọc và biểu thức bộ lọc.

Event ID 20: Sự kiện WMI (Phát hiện hoạt động WmiEventConsumer) - Sự kiện này ghi lại việc đăng ký người tiêu dùng WMI, ghi lại tên người tiêu dùng, nhật ký và điểm đến.

Event ID 21: Sự kiện WMI (Hoạt động WmiEventConsumerToFilter) - Khi một người tiêu dùng được liên kết với một bộ lọc, sự kiện này ghi lại tên người tiêu dùng và đường dẫn bộ lọc.

Event ID 22: Sự kiện DNS (Truy vấn DNS) - Sự kiện này được tạo ra khi một tiến trình thực hiện truy vấn DNS, dù kết quả thành công hay thất bại, có trong bộ nhớ đệm hay không. Telemetry cho sự kiện này được thêm vào cho Windows 8.1 nên không có sẵn trên Windows 7 và các phiên bản trước đó.

Event ID 23: Xóa tập tin (File Delete archived) - Một tập tin đã bị xóa. Ngoài việc ghi lại sự kiện, tập tin bị xóa cũng được lưu trữ trong ArchiveDirectory (mặc định là C:\Sysmon). Dưới điều kiện hoạt động bình thường, thư mục này có thể phát triển đến kích thước không hợp lý - xem sự kiện ID 26: FileDeleteDetected cho hành vi tương tự nhưng không lưu tập tin đã xóa.

Event ID 24: Thay đổi Clipboard (New content in the clipboard) - Sự kiện này được tạo ra khi nội dung clipboard của hệ thống thay đổi.

Event ID 25: Can thiệp tiến trình (Process image change) - Sự kiện này được tạo ra khi phát hiện các kỹ thuật ẩn tiến trình như "hollow" hoặc "herpaderp".

Event ID 26: Phát hiện xóa tập tin (File Delete logged) - Một tập tin đã bị xóa.

Event ID 27: Chặn tạo tập tin thực thi (FileBlockExecutable) - Sự kiện này được tạo ra khi Sysmon phát hiện và chặn việc tạo các tập tin thực thi (định dạng PE).

Event ID 28: Chặn hủy tập tin (FileBlockShredding) - Sự kiện này được tạo ra khi Sysmon phát hiện và chặn việc hủy tập tin từ các công cụ như SDelete.

Event ID 29: Phát hiện tập tin thực thi (FileExecutableDetected) - Sự kiện này được tạo ra khi Sysmon phát hiện việc tạo một tập tin thực thi mới (định dạng PE).

Event ID 255: Lỗi (Error) - Sự kiện này chỉ ra một lỗi trong quá trình hoạt động của Sysmon.

Linux

cmd.log