Техника на mitre.org

T1654: Сбор журналов

Злоумышленники могут просматривать системные и служебные журналы в поисках полезных данных. Эти журналы могут содержать информацию, ценную для злоумышленника, такую как записи об аутентификации пользователей (см. технику Изучение учетных записей), данные о безопасности или уязвимом программном обеспечении (см. технику Изучение установленного ПО) или информацию об узлах в скомпрометированной сети (см. технику Изучение удаленных систем).

Для сбора системных журналов могут использоваться исполняемые файлы, уже присутствующие на узле. Например, для просмотра и (или) экспорта информации о событиях безопасности в Windows могут применяться утилита wevtutil.exe и интерпретатор командной строки PowerShell. В облачных средах злоумышленникам могут быть доступны такие утилиты, как CollectGuestLogs.exe агента виртуальной машины Azure, которые позволяют собирать журналы безопасности из облачной инфраструктуры.

Злоумышленники могут также атаковать централизованные системы журналирования, например SIEM. Также они могут массово экспортировать журналы в свою инфраструктуру для дальнейшего автономного анализа.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mysql_database: PT-CR-618: MySQL_Audit_Table_Access: Попытка просмотреть таблицу аудита mitre_attck_discovery: PT-CR-1084: Remote_Log_Read: Удаленный пользователь получил доступ к журналу событий Windows

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте команды и аргументы утилит и других инструментов, которые могут использоваться для доступа к журналам и их экспорта.

ID	DS0022	Источник и компонент данных	Файл: Доступ к файлу	Описание	Отслеживайте попытки доступа к файлам журналов систем и служб, особенно со стороны нетипичных и аномальных пользователей.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте нетипичное поведение процессов, связанных с утилитами с возможностями чтения и экспорта журналов, такими как `wevutil.exe` в Windows и `CollectGuestLogs.exe` на виртуальных машинах Azure.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте команды и аргументы утилит и других инструментов, которые могут использоваться для доступа к журналам и их экспорта.
DS0022	Файл: Доступ к файлу	Отслеживайте попытки доступа к файлам журналов систем и служб, особенно со стороны нетипичных и аномальных пользователей.
DS0009	Процесс: Создание процесса	Отслеживайте нетипичное поведение процессов, связанных с утилитами с возможностями чтения и экспорта журналов, такими как `wevutil.exe` в Windows и `CollectGuestLogs.exe` на виртуальных машинах Azure.

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	Всегда, когда возможно, предоставляйте доступ к конфиденциальным журналам и функции их экспорта только привилегированным учетным записям.

ID	Название	Описание
M1018	Управление учетными записями	Всегда, когда возможно, предоставляйте доступ к конфиденциальным журналам и функции их экспорта только привилегированным учетным записям.