Symantec EDR kurulduğu andan itibaren istemcilerde oluşan tüm olayları toplamaya başlar. Bu olayları toplamak için bir çok teknik kullanır, bugün bizim inceleyeceğimiz başlık ETW (Event Tracing for Windows).
ETW nedir, bize ne katar hızlıca bakmak için gezinirken gördüğüm bu Ferrarisini Satan ETW blogunu inceleyebilirsiniz.
Symantec EDR kurulduğunda symc_etwsession0 ve symc_etwsession1 adında 2 tane ETW Trace sessionı oluşturur.
Bu sessionlar Microsoft-Windows-Security-Auditing, Microsoft-Windows-COMRuntime, Microsoft-Windows-TaskScheduler, Microsoft-Windows-WMI-Activity, Microsoft-Windows-LDAP-Client, Microsoft-Windows-Kernel-Process gibi providerları dinlemeye başlar.
Symantec EDR’ın ETW eventlerini nasıl ele aldığını görmek için Login hareketlerinin takibini inceleyeceğim.
Event 4625 – Brute Force Attempt
Bu örneğimizde Brute Force girişimlerini inceleyeceğimiz için Microsoft-Windows-Security-Auditing eventlerine bakacağız.
SEDR eventleri topladıkça hem her istemci için localdatastore altında kendi üzerinde saklar hem de konfigürasyona göre near-real-time da manager a gönderir.
Her bir event’e birer context etiketi eklenir, retention süresi boyunca bu etiketle saklanır, event enrichment rule’ları ile ilişkilendirilir, korelasyon sağlanır ve visibilite arttılır.
Eventler etiketlenip, enrichment rule’ları ile ilişkilendirilirken, Event’in hangi ETW kaynağından(provider) geldiği doğrulanır, aşağıdaki görsellerde bu context’i nasıl yaptığını görebilirsiniz.
Bizim senaryomuz için(Brute Force Logon) 4625 değeri ile eşleşmelerini göreceğiz.
Artık bu event Enrichment Rule’lar altında eFailedLogon olarak etiketlenebilir durumda.
Gerektiği durumlarda (birden fazla defa başarısız login girişimi )alarmları üretebilir, tehdit avı senaryolarınızda tespit edilebilir durumda.
Örnek olarak tarama yapmak isterseniz;
type_id=8015 & enriched_data.rule_name="eFailedLogon"
Bu aramalara belirli treshold’lar veya timeoutlar ekleyebilirsiniz.
Ör: 60 Saniye içinde 5 deneme.
Enrichment Rule’lar ile neler aranabilir detaylı incelemek isterseniz aşağıdaki yazı tam size göre