Ինչպես մեկնաբանել Windows Security Event ID 4688-ը հետաքննության մեջ

ներածություն

Ըստ Microsoft, իրադարձության ID-ները (նաև կոչվում են իրադարձությունների նույնացուցիչներ) եզակի կերպով նույնացնում են որոշակի իրադարձություն: Այն թվային նույնացուցիչ է, որը կցվում է Windows օպերացիոն համակարգի կողմից գրանցված յուրաքանչյուր իրադարձությանը: Նույնացուցիչը տրամադրում է տեղեկություն տեղի ունեցած իրադարձության մասին և կարող է օգտագործվել համակարգի գործառնությունների հետ կապված խնդիրների բացահայտման և անսարքությունների վերացման համար: Իրադարձությունը, այս համատեքստում, վերաբերում է համակարգի կամ օգտագործողի կողմից համակարգում կատարվող ցանկացած գործողության: Այս իրադարձությունները կարելի է դիտել Windows-ում՝ օգտագործելով Իրադարձությունների դիտիչը

Միջոցառման ID 4688-ը գրանցվում է, երբ նոր գործընթաց է ստեղծվում: Այն փաստաթղթավորում է մեքենայի կողմից կատարված յուրաքանչյուր ծրագիր և դրա նույնականացման տվյալները, ներառյալ ստեղծողը, թիրախը և այն սկսելու գործընթացը: Մի քանի իրադարձություն գրանցվում են իրադարձության ID 4688-ի ներքո: Մուտք գործելուց հետո գործարկվում է Session Manager Subsystem (SMSS.exe) և 4688 իրադարձությունը գրանցվում է: Եթե ​​համակարգը վարակված է չարամիտ ծրագրերով, ապա չարամիտ ծրագիրը, ամենայն հավանականությամբ, կստեղծի նոր գործընթացներ՝ գործարկելու համար: Նման գործընթացները պետք է փաստաթղթավորվեն ID 4688-ով:

 

Տեղադրեք Redmine-ը Ubuntu 20.04-ում AWS-ում

Միջոցառման մեկնաբանություն ID 4688

Միջոցառման ID 4688-ը մեկնաբանելու համար կարևոր է հասկանալ իրադարձությունների մատյանում ներառված տարբեր դաշտերը: Այս դաշտերը կարող են օգտագործվել ցանկացած անկանոնություն հայտնաբերելու և գործընթացի սկզբնաղբյուր վերադառնալու համար:

• Ստեղծողի թեմա. այս դաշտը տեղեկատվություն է տրամադրում օգտվողի հաշվի մասին, որը խնդրել է ստեղծել նոր գործընթաց: Այս դաշտը տրամադրում է համատեքստ և կարող է օգնել դատաբժշկական քննիչներին հայտնաբերել անոմալիաները: Այն ներառում է մի քանի ենթադաշտեր, այդ թվում՝

• • Անվտանգության նույնացուցիչ (SID)» Համաձայն Microsoft, SID-ը եզակի արժեք է, որն օգտագործվում է վստահված անձին նույնականացնելու համար: Այն օգտագործվում է Windows համակարգում օգտագործողներին նույնականացնելու համար:
  • Հաշվի անվանումը. SID-ը որոշված ​​է ցույց տալ այն հաշվի անունը, որը նախաձեռնել է նոր գործընթացի ստեղծումը:
  • Հաշվի տիրույթ. այն տիրույթը, որին պատկանում է համակարգիչը:
  • Logon ID՝ եզակի տասնվեցական արժեք, որն օգտագործվում է օգտատիրոջ մուտքի սեսիան նույնականացնելու համար: Այն կարող է օգտագործվել իրադարձությունների փոխկապակցման համար, որոնք պարունակում են նույն իրադարձության ID-ն:

• Թիրախային թեմա. այս դաշտը տեղեկատվություն է տրամադրում օգտվողի հաշվի մասին, որի տակ գործում է գործընթացը: Գործընթացի ստեղծման իրադարձության մեջ նշված առարկան, որոշ հանգամանքներում, կարող է տարբեր լինել գործընթացի դադարեցման իրադարձության մեջ նշված առարկայից: Այսպիսով, երբ ստեղծողն ու թիրախը չունեն նույն մուտքը, կարևոր է ներառել թիրախային թեման, չնայած նրանք երկուսն էլ հղում են կատարում գործընթացի նույն ID-ին: Ենթադաշտերը նույնն են, ինչ վերը նշված ստեղծողի առարկան:
• Գործընթացի մասին տեղեկատվություն. այս դաշտը մանրամասն տեղեկատվություն է տրամադրում ստեղծված գործընթացի մասին: Այն ներառում է մի քանի ենթադաշտեր, այդ թվում՝

• • Նոր գործընթացի ID (PID). եզակի տասնվեցական արժեք, որը վերագրվում է նոր գործընթացին: Windows օպերացիոն համակարգն այն օգտագործում է ակտիվ գործընթացներին հետևելու համար:
  • Նոր գործընթացի անունը. գործարկվող ֆայլի ամբողջական ուղին և անունը, որը գործարկվել է նոր գործընթաց ստեղծելու համար:
  • Token-ի գնահատման տեսակը. Token-ի գնահատումը անվտանգության մեխանիզմ է, որն օգտագործվում է Windows-ի կողմից՝ որոշելու, թե արդյոք օգտվողի հաշիվը լիազորված է կատարել որոշակի գործողություն: Նշանի տեսակը, որը գործընթացն օգտագործելու է բարձր արտոնություններ պահանջելու համար, կոչվում է «token գնահատման տեսակ»: Այս դաշտի համար կա երեք հնարավոր արժեք. Տիպ 1 (%%1936) նշանակում է, որ գործընթացը օգտագործում է լռելյայն օգտագործողի նշանը և որևէ հատուկ թույլտվություն չի պահանջել: Այս դաշտի համար դա ամենատարածված արժեքն է: Տիպ 2 (%%1937) նշանակում է, որ գործընթացը գործարկելու համար պահանջել է ադմինիստրատորի լիարժեք արտոնություններ և հաջողությամբ ստացել դրանք: Երբ օգտատերը որպես ադմինիստրատոր գործարկում է հավելված կամ գործընթաց, այն միացված է: Տիպ 3 (%%1938) նշանակում է, որ գործընթացը ստացել է միայն պահանջվող գործողությունն իրականացնելու համար պահանջվող իրավունքները, թեև այն պահանջում էր բարձր արտոնություններ:

• • Պարտադիր պիտակ. գործընթացին տրված ամբողջականության պիտակ: 
  • Ստեղծողի գործընթացի ID. եզակի տասնվեցական արժեք, որը վերագրվում է նոր գործընթացին մեկնարկած գործընթացին: 
  • Ստեղծողի գործընթացի անվանումը. նոր գործընթացը ստեղծած գործընթացի ամբողջական ուղին և անվանումը:
  • Գործընթացի հրամանի տող. մանրամասներ է տրամադրում հրամանին փոխանցված փաստարկների մասին՝ նոր գործընթացը սկսելու համար: Այն ներառում է մի քանի ենթադաշտեր, ներառյալ ընթացիկ գրացուցակը և հեշերը:

Տեղադրեք GoPhish Phishing պլատֆորմը Ubuntu 18.04-ում AWS-ում

Եզրափակում

 

Գործընթացը վերլուծելիս կարևոր է որոշել՝ արդյոք այն օրինական է, թե վնասակար: Օրինական գործընթացը հեշտությամբ կարելի է բացահայտել՝ դիտելով ստեղծողի թեմայի և գործընթացի տեղեկատվական դաշտերը: Գործընթացի ID-ն կարող է օգտագործվել անոմալիաները հայտնաբերելու համար, օրինակ՝ նոր գործընթաց, որն առաջացել է անսովոր մայր գործընթացից: Հրամանի տողը կարող է օգտագործվել նաև գործընթացի օրինականությունը ստուգելու համար: Օրինակ, արգումենտներով գործընթաց, որը ներառում է ֆայլի ուղի դեպի զգայուն տվյալներ, կարող է ցույց տալ վնասակար մտադրություն: Ստեղծողի թեմա դաշտը կարող է օգտագործվել՝ որոշելու համար՝ արդյոք օգտվողի հաշիվը կապված է կասկածելի գործունեության հետ կամ ունի բարձր արտոնություններ: 

Ավելին, կարևոր է իրադարձության ID 4688-ը փոխկապակցել համակարգի այլ համապատասխան իրադարձությունների հետ՝ նոր ստեղծված գործընթացի վերաբերյալ համատեքստ ձեռք բերելու համար: Իրադարձության ID 4688-ը կարող է փոխկապակցվել 5156-ի հետ՝ որոշելու, թե արդյոք նոր գործընթացը կապված է որևէ ցանցային կապի հետ: Եթե ​​նոր գործընթացը կապված է նոր տեղադրված ծառայության հետ, ապա 4697 իրադարձությունը (ծառայության տեղադրում) կարող է փոխկապակցվել 4688-ի հետ՝ լրացուցիչ տեղեկություններ տրամադրելու համար: Իրադարձության ID 5140 (ֆայլի ստեղծում) կարող է օգտագործվել նաև նոր գործընթացի արդյունքում ստեղծված ցանկացած նոր ֆայլ նույնականացնելու համար:

Եզրափակելով, համակարգի համատեքստը հասկանալը ներուժը որոշելն է հարված գործընթացի։ Կարևոր սերվերի վրա սկսված գործընթացը, հավանաբար, ավելի մեծ ազդեցություն կունենա, քան այն, որը գործարկվել է ինքնուրույն մեքենայի վրա: Համատեքստն օգնում է ուղղորդել հետաքննությունը, առաջնահերթություն տալ արձագանքին և կառավարել ռեսուրսները: Վերլուծելով իրադարձությունների մատյանում տարբեր դաշտերը և այլ իրադարձությունների հետ հարաբերակցություն կատարելով՝ անոմալ գործընթացները կարող են հետագծվել դրանց ծագման և պատճառի վրա: