工具：识别Windows事件日志中的威胁

在windows事件日志中应该有着很多的关键数据项，限于能力我们无法做到快速识别并发现。一直以来，都有个这样的想法，想自动化识别出事件日志中的那些一直都在、但隐藏很深、难以挖掘的痕迹，从而能够加快我们的甄别步伐，找到其中的威胁内容，让安全防范到边到角，向深入推进。

一、开发的工具 EvtxAnalyser

    我们做了一个工具，利用Sigma检测规则库快速识别Windows事件日志中的威胁内容。它提供了一种快速的方法，通过事件日志关键字使用内置检测逻辑识别威胁。

这个在功能上很像《工具：远程登陆专项提取工具》，但那个只是对某个事件的ID来专项搜索，如对远程登陆ID=4624来专项搜索。这个功能在这里也能满足，但不是重点了，这里强调的是自动化识别事件中的所有的可疑项目，当然都是基于规则库的。

截一些效果图，

二、规则介绍

1、基于规则的检测都会是处理造成绝大部分实际损失的已知安全威胁的最有效手段，它作为当前安全检测的核心与基石，其地位短期内还无法动摇。

. Yara规则是基于二进制文件的静态HEX数据内容实现的扫描规则。简单点说，就是基于原始文件的内容数据扫描规则。

. Snort规则是基于IDS入侵检测系统，主要针对流量中数据包内容编写的扫描规则。

. SIGMA是一种通用的开放签名格式，允许以简单的方式描述系统中的相关日志事件。Sigma规则更偏向于对文件动态行为的审计。

2、着重介绍下Sigma规则：

解决方案使分析人员能够广泛了解其环境中的威胁。这使他们能够优化分类和修复。还可以加快检测速度，从而减少事件响应时间。

它有以下优点：

. 它使分析能够在组织之间重复使用和共享。

. 高级通用分析语言

. 解决记录签名问题等最可靠的方法

. 纯文本YAML文件

. 简单模式

举例：CVE-2009-3898的Sigma规则

title: CVE-2009-3898 Exploitation Attempt

id: cf98b0cf-0b0c-4af6-bd28-6cefabd58cf8

status: experimental

description: Detects the exploit attempt for Path Traversal Vulnerability

references:

  - https://www.exploit-db.com/exploits/9829

author: Loginsoft Research unit

date: 2020/05/27

logsource:

  product: nginx

  category: webserver

detection:

  selection:

    sc-status: 204

    cs-method: 

      - 'COPY'

      - 'MOVE'

    c-uri: '*index.html'

  keywords:

    - 'client sent invalid "Destination" header'

  condition: selection or keywords

falsepositives:

  - Unknown

level: medium

《使用SIGMA规则进行威胁检测》这篇文章很好地介绍了这个规则：

https://www.loginsoft.com/blog/2020/06/17/threat-detection-with-sigma-rules/

感谢无糖学院导师戴华老师分享

欢迎关注公众号MicroPest

原文始发于微信公众号（无糖反网络犯罪研究中心）：工具：识别Windows事件日志中的威胁