System Hardening - Checklist cơ bản của 1 Window server

 

1) AV enabled

2) Patches

3) Account Policies

4) Logging 

4.1) Audit Policy

4.2) A remote logging software. E.g. Splunk Forwarder

4.3) Sysmon

4.4) A FIM Agent 

    E.g. https://docs.rapid7.com/insightidr/file-integrity-monitoring/ 

4.5) NTP

5) Turn off unnecessary Windows Features & Services

5.1) Server service?

Config inputs.conf Blacklist specific Windows Event Logs trên Splunk Forwarder

 

Windows Event Logs có rất nhiều audit // security data được ghi nhận. 

Do đó để tránh nhiễu do quá nhiều log, cũng là giải quyết vấn đề log rác hoặc log trùng, cần phải blacklist 1 số events. 

VD: Windows Firewall events có EventCode=5156 liên quan đến DNS traffic và kết nối 1 số internal web sites cụ thể. Rõ ràng đây là những events thừa thãi, không cần thiết. Hay hơn nữa, cần lưu được query domain name trong dns logs, hơn là log ghi nhận dns traffic. Xem  thông tin 1 event 5156 trên Windows:

Đối với giải pháp Splunk, cần blacklist trên config của Spl forwarder theo các HD sau:

* 5 Examples vv blacklist // exclude data > https://docs.splunk.com/Documentation/Splunk/8.2.2/Data/Whitelistorblacklistspecificincomingdata

* Nhưng để hiểu cách cấu hình blacklist, tham khảo kỹ https://docs.splunk.com/Documentation/Splunk/8.2.2/Admin/Inputsconf 

* Nếu còn thời gian thì tham khảo tiếp https://docs.splunk.com/Documentation/SplunkCloud/latest/Data/MonitorWindowseventlogdata 

 

Windows Security Event Log vs Sysmon

 

Có lý do nào đó mà CTO MS (Mark Russinovich) tạo ra sysmon để audit/monitor Windows instances. Mình cũng tập tài cài, collect lưu về SIEM. MS Windows cũng đã có log nên hiển nhiên 1 số events sẽ trùng lắp:

* EventCode=4688 của Wineventlog và EventCode=1 của Sysmon. Các events lệch nhau 1 chút, khoảng 1 2 giây tối đa. 

* EventCode=4689 của WinEventlog và EventCode=5 của Sysmon.

Sysmon đã bổ sung lưu cả parameters của 1 process command line (Wineventlog thì không) nên chiếu theo luật log thừa, có lẽ sẽ nên blacklist các events 4688 và 4689. 1 eventcode=1 của sysmon thường có thông tin như sau:

............... UtcTime: 2021-10-11 08:55:31.791 ProcessGuid: {BE5D7639-FC03-6163-5B75-030000001400} ProcessId: 4396 Image: C:\Windows\System32\reg.exe FileVersion: 10.0.14393.0 (rs1_release.160715-1616) Description: Registry Console Tool Product: Microsoft® Windows® Operating System Company: Microsoft Corporation OriginalFileName: reg.exe CommandLine: reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}.KB982573" CurrentDirectory: C:\Windows\system32\ User: NT AUTHORITY\SYSTEM LogonGuid: {BE5D7639-BBCE-6149-E703-000000000000} LogonId: 0x3E7 TerminalSessionId: 0 IntegrityLevel: System Hashes: MD5=59A22FA6CF85026BB6BC69A1ADD75C50,SHA256=9E28034CE3AEEA6951F790F8997DF44CFBF80BEFF9FB17413DBA317016A716AD,IMPHASH=EE7EB7FA7D163340753B7223ADA14352 ..........

Đã tin tưởng Sysinternals tools, cộng với việc Sysmon sẽ làm được nhiều trò trống, nhất là việc mon//giám sát. Nên quyết định chiến với sysmon thôi.

Happy monitoring!!!