Security log: ecco come analizzare gli eventi di sistema di Windows legati alla sicurezza - Cyber Security 360

LA GUIDA PRATICA

Security log: ecco come analizzare gli eventi di sistema di Windows legati alla sicurezza

Per prevenire o almeno limitare i danni di un attacco informatico può tornare utile il security log, ovvero il registro degli eventi di sistema di Windows legati alla sicurezza che consentono di rilevare eventuali attività sospette. Ecco come gestirlo al meglio e quali sono gli eventi da monitorare

22 Dic 2020
G
Alessandro Gaspari

Data Center Specialist & Privacy Officer

Una delle buone pratiche di base della Governance IT che dovrebbe far parte delle misure difensive e di controllo dell’IT Manager è sicuramente il Log Management, non solo inteso come semplice contenitore dove raccogliere tutti i log, ma soprattutto come strumento di analisi e monitoraggio continuo degli eventi da cui è possibile rilevare attività sospette e quindi attivare degli allarmi che consentano di prevenire o se non altro di “limitare i danni”: nello specifico, è opportuno prestare la massima attenzione al Security Log, il registro degli eventi generati da Windows e legati alla sicurezza della macchina.

Come analizzare il Security Log

Ogni sistema Windows della nostra rete e soprattutto i domain controller generano centinaia di eventi nel Security Log e questo può scoraggiarne l’analisi.

È però possibile, oltre che utile, attivare nove categorie di “audit policy” che possono aiutare l’IT Manager nella sua analisi degli eventi di sistema mirata alla sicurezza informatica:

  1. Audit account logon events
  2. Audit logon events
  3. Audit account management
  4. Audit directory service access
  5. Audit object access
  6. Audit policy change
  7. Audit privilege use
  8. Audit process tracking
  9. Audit system events

Per ogni categoria è poi possibile decidere se “loggare” gli eventi di “successo” (“success”), di “fallimento” (“failure”) o entrambi, in base alla policy. Tutte le nove policy hanno l’evento “success” e solo alcune anche il “failure”.

Le nove categorie a loro volta contengono delle sottocategorie che consentono una gestione abbastanza granulare. Per gestire le singole sottocategorie sarà necessario abilitare in Security Settings/Local Policies/Security Options l’opzione Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.

Come attivare le audit policy del Security Log

L’attivazione delle “audit policy”, in Active Directory, viene gestita sui Domain Controller mediante la Microsoft Management Console (MMC) “Local Security Policy”.

Per attivare le audit policy anche per il resto dei server o computer si dovrà utilizzare le GPO (Group Policy Object), facendo attenzione che generalmente la GPO sovrascrive le “Local Policy”.

Lo strumento di default per accedere ai Security Log è la MMC Event Viewer.

Elemento fondamentale per la ricerca e l’analisi degli eventi è il campo “Event ID”.

Security Log: gli eventi da monitorare

Utilizzando un software di gestione dei log, vediamo quali sono gli eventi che dovrebbero sempre essere monitorati:

  1. Cleaning audit log and Event Log
  2. Audit policy changes
  3. Domain policy change
  4. User right assignments
  5. Local account authentication policy changes
  6. Local user account changes
  7. Local account enumeration
  8. Local group membership changes
  9. Failed logon attempts
  10. Permission on an object change
  11. Account lockout
  12. Logon as local Administrator o Privilege Users
  13. New service installed
  14. Firewall policy change

Cleaning audit log and Event Log

Identificato con Security EventID 1102 (The audit log was cleared), fa parte dell’Event Log e segnala che è stata effettuata la cancellazione dei log Security. È una delle tipiche azioni dell’attaccante effettuate per cancellare le proprie tracce.

Audit policy changes

Identificato con Security EventID 4719 (System audit policy was changed), fa parte della categoria “Policy Change”, generato quando viene modificata una “Audit Policy”, compresa la sua disattivazione.

Domain policy changes

Identificato con Security EventID 4739 (Domain Policy was changed), fa parte della categoria “Account Management”, generato quando viene modificata una Policy di Dominio relativamente a “Security SettingsAccount Policy” o “Account Lockout Policy”.

User right assignments

Identificato con EventID 4704 (A user right was assigned), fa parte della categoria “Policy Change” e viene generato quando vengono modificati i diritti di un utente.

Local account authentication policy changes

Identificato con EventID 4717 (System security access was granted to an account), fa parte della categoria “Policy Change” e viene generato quando vengono assegnati i diritti di accesso come “Access this computer from the network” o “Logon as a service”

Local user account changes

Identificato con EventID 4738 (A user account was changed), fa parte della categoria “Account Management”. Evento che traccia chi e quali modifiche sono state apportate ad un account.

Local account enumeration

I due eventi che si dovrebbero monitorare sono:

  • EventID 4798 (A user’s local group membership was enumerated).
  • EventID 4799 (A security-enabled local group membership was enumerated).

Fanno parte della categoria “Account Management”. Il primo (4798) si genera quando un processo enumera i gruppi locali alla quale l’utente appartiene, il secondo evento (4799) si genera quando un processo enumera i membri di un “gruppo locale”. Entrambi gli eventi possono indicare una attività tipica di un attaccante che ha compromesso un PC e vuole verificare ed esaminare gli account locali.

Local group membership changes

Due gli eventi da monitorare:

  • EventID 4732 (A member was added to a security-enabled local group), fa parte della categoria “Account Management”. L’evento segnala che un utente/computer/gruppo è stato aggiunto al gruppo locale.
  • EventID 4735 (A security-enabled local group was changed), fa parte della categoria “Account Management” e notifica una modifica una modifica ad un Security Group locale.

Failed logon attempts

Identificato con EventID 4625 (An account failed to log on), fa parte della categoria “Logon/Logoff”. Utili per individuare e monitorare tutti i tentativi di logon falliti.

Permission on an object Change

Identificato con EventID 4670 (Permissions on an object were changed), fa parte della categoria “Object Access” e “Policy Change”. Segnala quando qualcuno modifica i permessi di accesso su un oggetto (del File System o di Registro). Tracciare chi o che cosa assume la ownership è molto importante per l’eventuale identificazione di un attacco ransomware o “movimenti laterali” di un attaccante.

Account lockout

Identificato con EventID 4740 (A user account was locked out), fa parte della categoria “Account Management” e segnala che un account è stato bloccato a causa di ripetuti tentativi di accesso con password errata.

Logon as local Administrator o Privilege Users

Identificato con EventID 4672 (Special privileges assigned to new logon), fa parte della categoria “Logon/Logoff” e viene registrato a seguito di un evento 4624 (An account was successfully logged on). È utile per monitorare l’accesso di un “super user” cioè degli Amministratori di Sistema.

New service installed

Identificato con EventID 4697 (A service was installed in the system), fa parte della categoria “System” e segnala l’installazione di un nuovo servizio. È un evento introdotto dalla versione di Windows 2012 R2. È un evento importante per la verifica e il monitoraggio dei nuovi servizi installati.

Firewall policy change

Identificati con EventID:

  • 4946 (A change has been made to Windows Firewall exception list. A rule was added).
  • 4947 (A change has been made to Windows Firewall exception list. A rule was modified).
  • 4948 (A change has been made to Windows Firewall exception list. A rule was deleted).

Questi EvetID fanno parte della categoria “Policy Change” e notificano l’intervento sulle regole del firewall di Windows.

Altri due eventi utili sono:

  • 4950 (A Windows Firewall setting has changed), che notifica una qualsiasi modifica effettuata con la console MMC.
  • 853 (The Windows Firewall operational mode has changed), che segnala una modifica delle policy del Windows Firewall relativamente alla modalità operatica (on/off).

@RIPRODUZIONE RISERVATA

Articolo 1 di 5