Olaf Hartong - Endpoint detection Superpowers on the cheap — part 2 — Deploy and Maintain

第 1 部分中,我谈到了 MITRE ATT&CK、Sysmon 以及我的模块化配置是如何构建的。显然,您还需要一种将其安装在端点或服务器上的方法,理想情况下无需太多手动交互。
这篇文章将介绍安装Sysmon,使其在软件和配置方面保持最新,并将引入集中式日志记录解决方案。

部署和维护

除了我将要介绍的选项之外,可能还有多种选择,这些是我更喜欢的选项,总是欢迎任何改进建议。
首先,我们需要安装 Sysmon,在 Windows 域环境中,您可以利用本机方法将其烘焙到您的黄金映像中,使用 Microsoft SCCM 或通过组策略安装它。有几篇很好的博文,比如Pablo Delgado的博文。本质上,您将可执行文件和配置放在文件共享上,并通过 GPO 启动脚本。
这很好用,但是我遇到的大多数组织都有独立的安全和 IT 团队,顺便说一句。这也经常会引入一些不太理想的情况。例如,更新您的配置需要对共享的写入权限,并且根据您使用的 GPO 脚本,您可能还需要编辑 GPO。这不会很快,而有时在发现新的攻击技术时,您需要尽快了解整个环境。这种方法的另一个缺点显然是您需要将所有机器加入到域中,这并不总是可能或允许的。
由于我主要为使用 Splunk 的客户工作,因此我决定创建一个小型应用程序。Splunk 可以选择使用部署服务器:
image.png
这是您可以分配给 Splunk Enterprise 服务器的角色。该服务器将成为您指向它的所有本地安装的通用转发器(记录器代理)的配置服务器。在部署服务器上,您可以创建一个分配给所有 Windows 客户端的 Sysmon 类,您可以将我创建的应用程序添加到该类:Sysmon 部署和维护 |Splunkbase通过 Splunk 部署服务器部署和维护 Symon
此应用程序部署到机器时,将检查系统上是否已运行 Sysmon 服务,当它运行时将验证版本。如果其版本低于配置的版本(当前为 7.03),它将卸载该版本并使用附加的配置进行安装。当它没有找到该服务时,它将继续安装提供的版本。
image.png
部署.bat
我选择使用批处理文件,我也可以在其中使用 PowerShell。这样做的主要原因是兼容性,我想确保它可以在任何 Windows 机器上运行。此脚本设置为在应用程序部署后运行一次。

更新

更新通过同一个应用程序安装,同样您也可以使用 GPO 来执行此操作。默认情况下,它每 12 小时将通过将新配置与其运行版本进行比较来检查新配置。如果它不同,它将使用最新配置更新服务。
image.png
更新.bat

摄取日志(Ingesting logs)

通用转发器(Universal Forwarder)

由于在这种情况下我使用的是通用转发器,因此摄取相对简单。您可以选择从 Splunkbase 部署技术插件:Microsoft Sysmon 的附加组件 |Splunkbase为
另一个更轻量级的选项是将以下内容添加到您的 inputs.conf 文件中:
image.png

Windows 事件转发器(Windows Event Forwarder)

如果您处于完全托管的加入域的环境中,您还可以使用 Windows 事件收集器 (WEC)+ Windows 事件转发器 (WEF) 设置。这是一种很好的 Microsoft 原生方式来聚合您的日志记录。为了让它运行,您需要设置一个 WEC 服务器,它只是一个带有大型磁盘集的普通 Windows 服务器。
通过一些 GPO,您将定义要订阅的日志,以及客户端将向您发送的内容。所有日志记录都将转发到 WEC,您可以从 WEC 将其发送到您的 SIEM 或首选的日志记录解决方案。
为了不重复其他人的一些精彩文章,请查看 Palantirs 关于WEF for Network Defense或 Jessica Paynes WEFFLES的文章。

结束

这篇文章涵盖了部署和维护 Sysmon 及其配置,前一部分包括:

下一个主题将涵盖:

  • 检测 Sysmon 篡改
  • 如何开始解释日志记录以帮助您调整配置
  • 我的基于 ATT&CK 的 Splunk 威胁搜寻应用程序