Una delle buone pratiche di base della Governance IT che dovrebbe far parte delle misure difensive e di controllo dell’IT Manager è sicuramente il Log Management, non solo inteso come semplice contenitore dove raccogliere tutti i log, ma soprattutto come strumento di analisi e monitoraggio continuo degli eventi da cui è possibile rilevare attività sospette e quindi attivare degli allarmi che consentano di prevenire o se non altro di “limitare i danni”: nello specifico, è opportuno prestare la massima attenzione al Security Log, il registro degli eventi generati da Windows e legati alla sicurezza della macchina.
Indice degli argomenti
Come analizzare il Security Log
Ogni sistema Windows della nostra rete e soprattutto i domain controller generano centinaia di eventi nel Security Log e questo può scoraggiarne l’analisi.
È però possibile, oltre che utile, attivare nove categorie di “audit policy” che possono aiutare l’IT Manager nella sua analisi degli eventi di sistema mirata alla sicurezza informatica:
- Audit account logon events
- Audit logon events
- Audit account management
- Audit directory service access
- Audit object access
- Audit policy change
- Audit privilege use
- Audit process tracking
- Audit system events
Per ogni categoria è poi possibile decidere se “loggare” gli eventi di “successo” (“success”), di “fallimento” (“failure”) o entrambi, in base alla policy. Tutte le nove policy hanno l’evento “success” e solo alcune anche il “failure”.
Le nove categorie a loro volta contengono delle sottocategorie che consentono una gestione abbastanza granulare. Per gestire le singole sottocategorie sarà necessario abilitare in Security Settings/Local Policies/Security Options l’opzione Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.
Come attivare le audit policy del Security Log
L’attivazione delle “audit policy”, in Active Directory, viene gestita sui Domain Controller mediante la Microsoft Management Console (MMC) “Local Security Policy”.
Lo strumento di default per accedere ai Security Log è la MMC Event Viewer.
Security Log: gli eventi da monitorare
Utilizzando un software di gestione dei log, vediamo quali sono gli eventi che dovrebbero sempre essere monitorati:
- Cleaning audit log and Event Log
- Audit policy changes
- Domain policy change
- User right assignments
- Local account authentication policy changes
- Local user account changes
- Local account enumeration
- Local group membership changes
- Failed logon attempts
- Permission on an object change
- Account lockout
- Logon as local Administrator o Privilege Users
- New service installed
- Firewall policy change
Cleaning audit log and Event Log
Identificato con Security EventID 1102 (The audit log was cleared), fa parte dell’Event Log e segnala che è stata effettuata la cancellazione dei log Security. È una delle tipiche azioni dell’attaccante effettuate per cancellare le proprie tracce.
Audit policy changes
Identificato con Security EventID 4719 (System audit policy was changed), fa parte della categoria “Policy Change”, generato quando viene modificata una “Audit Policy”, compresa la sua disattivazione.
Domain policy changes
Identificato con Security EventID 4739 (Domain Policy was changed), fa parte della categoria “Account Management”, generato quando viene modificata una Policy di Dominio relativamente a “Security SettingsAccount Policy” o “Account Lockout Policy”.
User right assignments
Identificato con EventID 4704 (A user right was assigned), fa parte della categoria “Policy Change” e viene generato quando vengono modificati i diritti di un utente.
Local account authentication policy changes
Identificato con EventID 4717 (System security access was granted to an account), fa parte della categoria “Policy Change” e viene generato quando vengono assegnati i diritti di accesso come “Access this computer from the network” o “Logon as a service”
Local user account changes
Identificato con EventID 4738 (A user account was changed), fa parte della categoria “Account Management”. Evento che traccia chi e quali modifiche sono state apportate ad un account.
Local account enumeration
I due eventi che si dovrebbero monitorare sono:
- EventID 4798 (A user’s local group membership was enumerated).
- EventID 4799 (A security-enabled local group membership was enumerated).
Fanno parte della categoria “Account Management”. Il primo (4798) si genera quando un processo enumera i gruppi locali alla quale l’utente appartiene, il secondo evento (4799) si genera quando un processo enumera i membri di un “gruppo locale”. Entrambi gli eventi possono indicare una attività tipica di un attaccante che ha compromesso un PC e vuole verificare ed esaminare gli account locali.
Local group membership changes
Due gli eventi da monitorare:
- EventID 4732 (A member was added to a security-enabled local group), fa parte della categoria “Account Management”. L’evento segnala che un utente/computer/gruppo è stato aggiunto al gruppo locale.
- EventID 4735 (A security-enabled local group was changed), fa parte della categoria “Account Management” e notifica una modifica una modifica ad un Security Group locale.
Failed logon attempts
Identificato con EventID 4625 (An account failed to log on), fa parte della categoria “Logon/Logoff”. Utili per individuare e monitorare tutti i tentativi di logon falliti.
Permission on an object Change
Identificato con EventID 4670 (Permissions on an object were changed), fa parte della categoria “Object Access” e “Policy Change”. Segnala quando qualcuno modifica i permessi di accesso su un oggetto (del File System o di Registro). Tracciare chi o che cosa assume la ownership è molto importante per l’eventuale identificazione di un attacco ransomware o “movimenti laterali” di un attaccante.
Account lockout
Identificato con EventID 4740 (A user account was locked out), fa parte della categoria “Account Management” e segnala che un account è stato bloccato a causa di ripetuti tentativi di accesso con password errata.
Logon as local Administrator o Privilege Users
Identificato con EventID 4672 (Special privileges assigned to new logon), fa parte della categoria “Logon/Logoff” e viene registrato a seguito di un evento 4624 (An account was successfully logged on). È utile per monitorare l’accesso di un “super user” cioè degli Amministratori di Sistema.
New service installed
Identificato con EventID 4697 (A service was installed in the system), fa parte della categoria “System” e segnala l’installazione di un nuovo servizio. È un evento introdotto dalla versione di Windows 2012 R2. È un evento importante per la verifica e il monitoraggio dei nuovi servizi installati.
Firewall policy change
Identificati con EventID:
- 4946 (A change has been made to Windows Firewall exception list. A rule was added).
- 4947 (A change has been made to Windows Firewall exception list. A rule was modified).
- 4948 (A change has been made to Windows Firewall exception list. A rule was deleted).
Questi EvetID fanno parte della categoria “Policy Change” e notificano l’intervento sulle regole del firewall di Windows.
Altri due eventi utili sono:
- 4950 (A Windows Firewall setting has changed), che notifica una qualsiasi modifica effettuata con la console MMC.
- 853 (The Windows Firewall operational mode has changed), che segnala una modifica delle policy del Windows Firewall relativamente alla modalità operatica (on/off).
