Trong này, chúng tôi tập trung vào các máy trạm Windows 10 và Máy chủ Windows 2016 được sử dụng trong máy tính phòng thí nghiệm để dạy lập trình và hệ điều hành.Chúng tôi đã phân tích cà
Trang 1OPTIMIZING WINDOWS 10 AND WINDOWS SERVER 2016 LOGGING TO
DETECT NETWORK SECURITY THREATS Đặt vấn đề: Việc thu thập và phân tích nhật ký sự kiện cho phép phát hiện và gỡ lỗi hệ điều
hành và ứng dụng lỗi cấu hình Việc lựa chọn nhật ký sự kiện phù hợp cho phép bạn phát hiện các cuộc tấn công mạng và ngăn chặn thiệt hại tiềm ẩn Trong bài viết, chúng tôi tập trung vào việc lựa chọn và tối ưu hóa nhật ký sự kiện cho máy chủ và máy chủ Microsoft Windows hệ điều hành Chúng tôi đã thực nghiệm xác minh cấu trúc và số lượng nhật ký được sản xuất và chúng tôi đề xuất tối ưu hóa
I Giới thiệu
Thu thập và phân tích nhật ký sự kiện tự động cho phép SIEM - Thông tin bảo mật và
sự kiện quản lý để phát hiện các mối đe dọa bảo mật trong công ty mạng lưới Lựa chọn nhật ký sự kiện đã tạo ảnh hưởng đáng kể đến chất lượng của mối đe dọa an ninh phát hiện và do đó yêu cầu kiến thức chi tiết của hệ thống được giám sát và cấu hình của nó Trong này, chúng tôi tập trung vào các máy trạm Windows 10 và Máy chủ Windows 2016 được sử dụng trong máy tính phòng thí nghiệm để dạy lập trình và
hệ điều hành.Chúng tôi đã phân tích cài đặt mặc định của hệ thống, áp dụng
cài đặt bảo mật được đề xuất và chúng tôi có đã sửa đổi chúng Dựa trên thực nghiệm
dữ liệu thu được từ các giai đoạn riêng lẻ của đo lường, chúng tôi đã thiết kế các bộ lọc để giảm dữ liệu không cần thiết và giảm tải SIEM.Thí nghiệm diễn ra trong nhiều giai đoạn Ở trong giai đoạn đầu tiên, nhật ký sự kiện được lấy từ một máy trạm trong cấu hình bảo mật ban đầu Một trình xem sự kiện tiêu chuẩn được sử dụng để phân tích số lượng và các loại nhật ký sự kiện Trong giai đoạn thứ hai, bảo mật các cài đặt
do nhà sản xuất đề xuất là đã sử dụng [1] Công cụ Trình quản lý Tuân thủ Bảo mật (SCM) của Microsoft chứa các mẫu bảo mật cho hiện tại phiên bản của hệ điều hành
và chương trình đã chọn các gói Với mục đích của thử nghiệm, chúng tôi đã sử dụng Bảo mật máy tính Windows 10-1607 Mẫu tuân thủ 1.0 có chứa 765 mẫu duy nhất cài đặt và bảo mật bộ điều khiển miền WS2016 Tuân thủ 1.0 có chứa 1013 cài đặt duy nhất Sự gia tăng đáng kể về số lượng và sự đa dạng của các sự kiện đã được ghi lại
và do đó chúng tôi đã sử dụng Trình khám phá nhật ký sự kiện để phân tích [2] Công
cụ này cho phép hợp nhất, phân tích và lọc hiệu quả nhật ký sự kiện Nhật ký sự kiện
đã chụp đã được phân tích và tiếp theo là điều chỉnh cuối cùng về bảo mật cài đặt Các thông số bảo mật được đặt dựa trên kinh nghiệm của riêng chúng tôi, được tính đến đã xuất bản khuyến nghị [3-5] Nội dung của nhật ký có đã được phân tích và chúng tôi đã đề xuất các quy tắc cho sau này sự lọc Trong giai đoạn thứ ba, cài đặt bảo mật đã được sử dụng trên các máy tính trong phòng máy tính và nhật ký sự kiện được thu thập trên máy chủ nhật ký Máy chủ nhật ký đã được định cấu hình trên Windows 2012 R2 bằng cách sử dụng thủ tục xuất bản - [6] Máy chủ nhật ký đã lọc
dữ liệu đã thu thập và chuẩn bị chúng để xử lý trong SIEM - Hình 1
Trang 22 Tools User
- Một vai trò quan trọng trong thử nghiệm là hoạt động với các cài đặt bảo mật của hệ điều
hành Giới thiệu Trung tâm Bảo mật của Bộ bảo vệ Windows trong bản cập nhật dành cho người sáng tạo Windows 10 bao gồm năm trụ cột:
virus & threat protection,
device performance & health,
firewall & network protection,
app & browser control,
family options
Điều đó cho phép người dùng kiểm soát và khả năng hiển thị của trải nghiệm bảo mật thiết
bị, sức khỏe và an toàn trực tuyến [7] Tuy nhiên, không rõ thông điệp như thế nào thế hệ được thiết lập để ghi nhật ký Cho tinh vi Cài đặt Windows 10 EDU, Bảo mật cục bộ Trình chỉnh sửa chính sách có sẵn Trình chỉnh sửa này cho phép bạn thay đổi cài đặt bảo mật của máy tính cục bộ của bạn chi tiết, nhưng không thể theo dõi các thay đổi bạn thực hiện và các thay đổi có thể bị ghi đè bởi các chính sách của nhóm Giải pháp là sử dụng Microsoft SCM [1] để tạo và quản lý các mẫu bảo mật Cài đặt mẫu - Tab 1 có thể được xuất và sử dụng trong chính sách bảo mật toàn cầu được áp dụng cho miền các thành viên
Một trình khám phá nhật ký sự kiện đã được sử dụng để phân tích nhật ký thu được Event Log Explorer là một công cụ hiệu quả giải pháp phần mềm để xem, phân tích và giám sát các
sự kiện được ghi lại trong Microsoft Windows nhật ký sự kiện Event Log Explorer đơn giản hóa rất nhiều và tăng tốc độ phân tích nhật ký sự kiện (bảo mật, ứng dụng, hệ thống, thiết lập, dịch vụ thư mục, DNS và những người khác) Event Log Explorer mở rộng chức năng Windows Event Viewer tiêu chuẩn và mang nhiều tính năng mới Người dùng, những người
đã thử Sự kiện Log Explorer, xem nó như một giải pháp ưu việt để Windows Event Viewer giúp tăng cường năng suất gấp đôi [2] Các lợi ích đã chọn của sự kiện trình khám phá nhật
ký bao gồm:
Trang 3In the experiment, we focused on the Computer Security Compliance template, which contains 21 settings groups An example of a modification of the parameter in the security policy is in Fig 2
instant access to event logs,
efficient filtering,
event log consolidation,
export events and report generator,
advanced filtering by any criteria including event description text,
analytical reports - summary tables and pivot charts,
servers import etc
Example of event viewing in event log explorer is in Fig 3
Since the analysis of the logs structure plays an important role in the experiments, we used the log file filtering option as shown in Fig 4
Trang 43
WORKSTATION EXPERIMENTAL RESULTS
Mục đích của giai đoạn đầu tiên của thử nghiệm là để xác định điểm bắt đầu, giai đoạn thứ hai phản ánh các khuyến nghị của nhà sản xuất và sự tiếp tục của giai đoạn thứ hai phản ánh kết quả tối ưu hóa của chúng tôi Các giá trị đo được cho thấy số loại sự kiện và số đêm giao thừa được ghi trên mỗi máy tính và 8 giờ làm việc -Tab 2
Kiểm tra cài đặt trong hệ điều hành mặc định thiết lập đã được chứng minh là không phù hợp với nhu cầu của chúng tôi và ID sự kiện đã tạo không đủ để phát hiện các mối đe dọa bảo mật hiện tại Trong giai đoạn 2, chúng tôi đã thay đổi kiểm toán tham số sử dụng Máy tính Windows 10-1607 Mẫu Tuân thủ bảo mật 1.0 có chứa 765 tham số, một tham số ảnh hưởng đến tạo một hoặc nhiều ID sự kiện Kiểm toán các tham số có tầm quan trọng xác định, với
202 là quan trọng, 97 quan trọng, 39 tùy chọn và những thứ khác chưa xác định Các loại và
Trang 5số lượng được tạo sự kiện tăng lên đáng kể - Tab 1 Dựa trên một phân tích sâu về các cài đặt, có tính đến
các khuyến nghị được xuất bản mới nhất trong Windows bảo mật, chúng tôi đã xác định và
áp dụng các cài đặt mới trong giai đoạn tối ưu hóa 2 Số lượng cài đặt kiểm tra các thay đổi cho từng giai đoạn của thử nghiệm được liệt kê trong Chuyển hướng 3 Tổng số loại sự kiện
và sự kiện số lượng giảm, đó là một dự kiến và kết quả tích cực
Giai đoạn 2 được tối ưu hóa chứa 40 loại sự kiện, với 85 phần trăm sự kiện là ID sự kiện:
5154, 5156, và 5158 - Hình 5
Để giảm thêm các sự kiện đã xử lý, chúng tôi đã phân tích nội dung của Sự kiện phong phú nhất ID ID sự kiện 5156 tạo bản ghi bất cứ khi nào Nền tảng lọc Windows (WFP) cho phép một chương trình để kết nối với một quy trình khác cục bộ hoặc từ xa ID sự kiện 5158 tạo bản ghi bất cứ khi nào ứng dụng máy khách hoặc máy chủ liên kết với một cảng ID sự kiện
5154 tạo và ghi bất cứ khi nào WFP cho phép một ứng dụng hoặc dịch vụ lắng nghe trên một cổng cho các kết nối đến Sự kiện Các ID được đề cập ở trên cho biết mạng giao tiếp của hệ điều hành và chạy ứng dụng và có thể cải thiện đáng kể khả năng phát hiện các mối đe dọa
an ninh Nhiệm vụ tiếp theo là lọc hồ sơ không cần thiết Chúng tôi đã phân tích nội dung của nhiều ID sự kiện nhất cho mục đích lọc Các Cấu trúc bản ghi ID sự kiện 5156 được hiển thị trong Hình 6
Trang 6Giao thức khám phá dịch vụ đơn giản (SSDP) khám phá các thiết bị UPnP được đại diện bởi các cổng 1900 và 2869 tạo ra 52 phần trăm tin nhắn, tiếp theo là giao thức DHCP - cổng 67 với 13 phần trăm tin nhắn Dịch vụ SSDP Discovery mới là cần thiết cho UPnP và Media Center Extender, và nếu chúng tôi không sử dụng UPnP, dịch vụ có thể bị vô hiệu hóa và tin nhắn có thể được lọc Thông báo DHCP là không thể sử dụng để phân tích vì chúng không chứa thông tin địa chỉ lớp liên kết và những thông báo này cũng có thể được lọc Lọc nội dung được đề cập thông báo giảm số lượng ID sự kiện 5156 kỷ lục 65 phần trăm Tương tự, cấu trúc của Bản ghi ID sự kiện 5158 đã được phân tích, trong đó 24 phần trăm bản ghi có thể được lọc ID sự kiện 5154 không thay đổi sau khi phân tích và chúng tôi đã không thực hiện lọc Trong Giai đoạn 3, chúng tôi đã áp dụng cài đặt từ Giai đoạn 2 được tối ưu hóa mà không cần lọc Ở trong phòng thí nghiệm, 15 máy vi tính được sử dụng để giảng dạy 4
giờ học (từ 08:00 AM đến 11:15 AM) Để biết thêm hơn 3 giờ, 3,1 triệu bản ghi đã được ghi lại, với 59 phần trăm là ID sự kiện 5156 và 12 phần trăm ID sự kiện 5158 Kích thước tệp nhật ký chỉ trong hơn 3 giờ đã tăng lên đến 10GB Sau khi áp dụng bộ lọc cho dữ liệu đầu vào,
đã giảm 41 phần trăm tổng số số hồ sơ đến cuối cùng là 1,8 triệu
4 SERVER EXPERIMENTAL RESULTS (kết quả kiểm tra trên sever)
Phương pháp tương tự đã được sử dụng cho các cửa sổ Thử nghiệm máy chủ 2016 đối với Windows 10 máy trạm Máy chủ Windows 2016 đóng vai trò là bộ điều khiển miền, máy chủ DNS và DHCP Mục tiêu của giai đoạn đầu tiên (Giai đoạn 1) của thử nghiệm là xác định điểm bắt đầu - cài đặt mặc định, giai đoạn thứ hai (Giai đoạn 2) phản ánh nhà sản xuất các khuyến nghị và sự tiếp tục của phần thứ hai giai đoạn (Giai đoạn 3) phản ánh kết quả của tối
ưu hóa Kể từ khi bảo mật bộ điều khiển miền các yêu cầu khác với máy trạm, bước cuối cùng (Giai đoạn 4) là điều chỉnh cài đặt WFP thành so sánh các kết quả Các giá trị đo được cho thấy số loại sự kiện và số đêm giao thừa được ghi lại từ máy chủ trong 8 giờ làm việc - Tab 4
Trang 7Kiểm tra cài đặt trong hệ điều hành mặc định thiết lập đã được chứng minh là không phù hợp với nhu cầu của chúng tôi và ID sự kiện đã tạo không đủ để phát hiện các mối đe dọa bảo mật hiện tại Trong giai đoạn 2, chúng tôi đã thay đổi kiểm toán các tham số sử dụng Bộ điều khiển miền WS2016 Mẫu Tuân thủ Bảo mật 1.0 có chứa 1013 tham số, một tham số ảnh hưởng đến tạo một hoặc nhiều ID sự kiện Số lượng thay đổi cài đặt kiểm tra cho mỗi giai đoạn thử nghiệm được liệt kê trong Tab 5 Tổng số loại sự kiện và số lượng sự kiện đã tăng lên, đó là một kết quả đáng mong đợi và tích cực
Giai đoạn 4 có 29 loại sự kiện, với 80 phần trăm sự kiện là ID sự kiện: 5156 - Hình 7
Như trong trường hợp của máy trạm, một số lượng lớn trong tổng số sự kiện 5156 đã được tạo Của chúng thành phần là khác nhau, như 82% các bản ghi thuộc về các hoạt động phân giải tên - cổng 53,137 và 5355
Trang 8Nếu chúng ta so sánh giai đoạn 4 - máy chủ windows và máy trạm được tối ưu hóa giai đoạn
2, chúng tôi thấy rằng số sự kiện được tạo bởi máy chủ là hợp lý Cấu trúc sự kiện không cho phép lọc đáng kể mà không làm mất dữ liệu liên quan và do đó đã bị bỏ qua trong thử
nghiệm
5 CONCLUSION
Trong bài báo, chúng tôi tập trung vào việc lựa chọn và tối ưu hóa Nhật ký sự kiện của Windows 10 và Hệ điều hành máy chủ Windows 2016 cho mục đích phát hiện các mối đe dọa bảo mật Chúng tôi đã tối ưu hóa sự lựa chọn ID sự kiện tập trung vào mạng
liên lạc Tối ưu hóa máy trạm Windows đã là giảm các loại sự kiện từ 73 xuống 40 trong giai đoạn 2
Sau đó, chúng tôi phân tích cấu trúc của ID sự kiện và bộ lọc được thiết kế để loại bỏ tin nhắn không cần thiết Giải pháp được đề xuất là thực nghiệm kiểm chứng hoạt động bình thường của 15 máy tính trong phòng thí nghiệm trong suốt khóa học Sử dụng bộ lọc, chúng tôi đã giảm số lượng tin nhắn xuống 41 phần trăm Đưa nhu cầu triển khai theo thời gian thực vào
hơn 200 máy tính làm việc 8 giờ một ngày, điều này làm giảm đáng kể dung lượng ổ đĩa và hiệu suất máy tính cần thiết để phân tích hồ sơ Bằng cách thay đổi các cài đặt được đề xuất theo giai đoạn 4 của máy chủâ windows 2016, chúng tôi đã tạo các ID sự kiện bắt buộc và quá trình lọc thêm của chúng có không thực hiện bất kỳ thay đổi đáng kể nào
Mặc dù Windows 10 và Windows Server 2016 sử dụng cùng một nhân, bảo mật được khuyến nghị các mẫu khác nhau để tính đến các mẫu khác nhau các tình huống sử dụng Do đó, một cách tiếp cận cá nhân phải được sử dụng để tối ưu hóa các sự kiện đã tạo