Quali file di Windows dovrebbero essere monitorati da HIDS?

6

Ho evidenziato la mia domanda qui sotto. Ecco alcuni retroscena

È facile trovare i dati che mostrano i file binari e i file di configurazione Linux più comunemente trojanati / modificati. ps, ls, find, kill, lsof, passwd, shadow, syslog.conf, ecc. vengono tutti modificati frequentemente dopo che un sistema è stato compromesso. È anche facile monitorare utmp e wtmp per essere avvisati quando un utente accede a un sistema Linux o quando qualcuno riavvia il sistema.

Windows sembra essere molto più di una scatola nera e più difficile in generale da monitorare. Parte di questo è dovuta al registro e alla mancanza di file di configurazione in chiaro, mentre una parte di esso sembra dovuta alla natura non documentata e chiusa di Windows. E quando dico "monitor", intendo sapere in tempo reale che un file è cambiato tramite allarmi (non logging). Inviami un avviso via sms, email, ecc. Quando l'eseguibile X cambia o quando il file SAM locale cambia o quando un virus riavvia il sistema per installare un MBR infetto. E davvero, il monitoraggio dell'integrità è facile, la parte difficile è sapere quali file su Windows dovrebbero essere monitorati . Non possiamo monitorare e avvisare su tutti i file.

Esiste un elenco ufficiale di file di Windows comunemente modificati o modificati che devono essere monitorati da un HIDS?

    
posta nhdgvst 08.02.2015 - 18:47
fonte

3 risposte

4

Un approccio ragionevole potrebbe essere quello di vedere quali prodotti HIDS esistenti fanno al riguardo. Se prendiamo OSSEC come esempio, per il libro su il loro sito ha una lunga lista di file e chiavi di registro che vengono monitorati per le modifiche (P84 nel PDF collegato)

In generale i file di sistema di Windows sono principalmente in c: \ windows, quindi molti file da monitorare si troveranno in quella posizione.

    
risposta data 22.03.2015 - 19:58
fonte
0

Questa guida alla rimozione di Norton contiene molte buone informazioni sulle chiavi di registro e sui file più comunemente presi di mira. Di sicuro qualsiasi cosa nella cartella di avvio.      link

Vedi pagina 18-19, per esempio.

    
risposta data 08.04.2015 - 02:06
fonte
-1

La risposta breve è, inizia con le posizioni principali di Windows, quindi crea più cartelle con le esclusioni nel tempo.

In un sistema Windows, il monitoraggio dell'integrità dei file dovrebbe essere applicato a (i file del sistema operativo, exe, driver e file DLL) almeno il file di programma, Programmi (x86), System 32 e SysWOW64. Applicando FIM di Windows Drive System C: \ Windows. È anche un approccio legittimo, ma come sempre, la più ampia della portata della rete di monitoraggio, i più falsi positivi che dovranno essere gestiti

A tal fine, sarà necessario quindi escludere tutti i file che sono noti e prevede di cambiare regolarmente, come i file di registro e di database in tempo reale, ad esempio, C: \ Windows \ Logs. Ciò garantisce che il "rumore" derivante dall'attività regolare venga rimosso e pertanto si concentri su modifiche irregolari e inattese.

Un buon strumento di Windows FIM permetterà filtri da applicare per tipo di file / interno o mediante modello corrisponde basata su espressioni regolari per pieno / parziale corrisponde un nome di file / cartelle, sia per l'inclusione ed esclusione dei file per il monitoraggio.

Allo stesso modo per il Registro di sistema - il registro contiene milioni di valori, molti dei quali cambiano frequentemente durante il normale funzionamento del server Windows. Analogamente, la configurazione di inclusione / esclusione "a grana fine" per il monitoraggio dell'integrità del file di registro è essenziale per fornire una soluzione FIM a bassa manutenzione ma di precisione per la precisione.

    
risposta data 06.01.2017 - 15:35
fonte

Leggi altre domande sui tag