¿Qué archivos de Windows deben ser monitoreados por HIDS?

Navega tus respuestas
6

Resalté mi pregunta a continuación. Aquí hay algunos antecedentes.

Es fácil encontrar datos que muestren los archivos binarios y de configuración de Linux más troyanos / modificados. ps, ls, find, kill, lsof, passwd, shadow, syslog.conf, etc. se cambian con frecuencia después de que un sistema ha sido comprometido. También es fácil monitorear utmp y wtmp para recibir una alerta cuando un usuario inicia sesión en un sistema Linux o cuando alguien reinicia el sistema.

Windows parece ser mucho más una caja negra y más difícil de monitorear en general. Parte de esto se debe al registro y la falta de archivos de configuración de texto sin formato, mientras que parte parece deberse a la naturaleza no documentada de código cerrado de Windows. Y cuando digo "monitorear" me refiero a saber en tiempo real que un archivo ha cambiado a través de alertas (no de registro). Envíeme una alerta a través de SMS, correo electrónico, etc. cuando X ejecutable cambie o cuando cambie el archivo SAM local o cuando un virus reinicie el sistema para instalar un MBR infectado. Y realmente, el monitoreo de integridad es fácil, la parte difícil es saber qué archivos en Windows deben ser monitoreados . No podemos monitorear y alertar en todos los archivos.

¿Hay una lista oficial de archivos de Windows comúnmente troyados / modificados que deberían ser monitoreados por un HIDS?

    
pregunta nhdgvst 08.02.2015 - 18:47
fuente

3 respuestas

4

Un enfoque razonable aquí podría ser ver qué hacen los productos HIDS existentes a este respecto. Si tomamos OSSEC como ejemplo, por el libro en su sitio tiene una larga lista de archivos y claves de registro que se monitorean para detectar cambios (P84 en el PDF vinculado)

En general, los archivos de sistema de Windows están en su mayoría en c: \ windows, por lo que habrá muchos archivos que se monitorearán en esa ubicación.

    
respondido por el Rоry McCune 22.03.2015 - 19:58
fuente
0

Esta guía de eliminación de Norton tiene una gran cantidad de buena información sobre las claves de registro y los archivos más utilizados. Por supuesto, cualquier cosa en la carpeta de inicio.      enlace

Consulte la página 18-19, por ejemplo.

    
respondido por el Rick Chatham 08.04.2015 - 02:06
fuente
-1

La respuesta breve es, comience con las ubicaciones centrales de Windows y luego cree más carpetas con exclusiones a lo largo del tiempo.

En un sistema Windows, la supervisión de la integridad de los archivos debe aplicarse al menos a los Archivos de programa, Archivos de programa (x86), Sistema 32 y SysWOW64 (archivos del sistema operativo, exe, controlador y archivos DLL). Aplicar FIM a la Unidad de sistema de Windows C: \ Windows también es un enfoque legítimo, pero como siempre, cuanto más amplio sea el alcance de la red de monitoreo, más falsos positivos se necesitarán para administrar.

Para este fin, será necesario excluir los archivos que se conocen y que se espera que cambien regularmente, como el registro en vivo y los archivos de base de datos, por ejemplo, C: \ Windows \ Logs. Esto garantiza que el "ruido" de la actividad regular se elimine y, por lo tanto, se centre en cambios irregulares e inesperados.

Una buena herramienta FIM de Windows permitirá que los filtros se apliquen por tipo de archivo / extensión o mediante concordancias de patrones basadas en expresiones regulares para hacer coincidir total o parcialmente el nombre de un archivo / carpeta, tanto para la inclusión como para la exclusión de archivos para monitoreo.

Del mismo modo para el Registro: el registro comprende millones de valores, muchos de los cuales cambian con frecuencia durante el funcionamiento regular del servidor de Windows. De manera similar, la configuración de inclusión / exclusión "de grano fino" para el monitoreo de la integridad de los archivos de registro es esencial para proporcionar una solución FIM de bajo mantenimiento pero forense precisa.

    
respondido por el NNT Support 06.01.2017 - 15:35
fuente

Lea otras preguntas en las etiquetas

¿Es seguro el enfoque de Django para restablecer los tokens de contraseña? Visitante extraño de Samara ---- forum.topic5982… 908.darodar.com? [cerrado]