Gyanús viselkedés észlelése Event Tracing for Windows-al (ETW)

Editors' Pick

Sokaknak az EventLogs juthat eszébe, amikor a Windows operációs rendszer naplóiról van szó. Az olyan incidensek kivizsgálásakor, mint például a rosszindulatú szoftverek fertőzése, gyakran elemzik a Windows operációs rendszer EventLog-okat, hogy olyan nyomokat találjanak, amelyek segíthetnek az incidens feltárásában. Mivel azonban az EventLogot nem arra tervezték, hogy a Windows OS gyanús viselkedését észlelje, előfordulhat, hogy nem mindig találja meg a keresett információkat egy incidens kivizsgálásakor. Ezért a több információ megszerzéséhez engedélyezni kell az audit logokat, vagy telepíteni kell a Sysmon-t.

A Windows operációs rendszerben van egy másik mechanizmus is, amely képes a gyanús viselkedés észlelésére. Ez az ETW (Event Tracing for Windows) nevű funkció. Ez a rendszermag és a folyamatok által generált események kezelésére szolgáló rendszer, amelyet alkalmazások hibakeresésére és egyéb célokra használnak. Az ETW-t az eseménynaplók gyűjtésére és kezelésére is használják, és az utóbbi években az EDR-termékek és a vírusirtó szoftverek észlelési logikájában is alkalmazzák. Az ETW rendelkezik egy olyan funkcióval, amely alapértelmezés szerint eseményként naplózza az operációs rendszer különböző viselkedéseit, ami lehetővé teszi, hogy az EventLogoknál több információhoz jusson.

A Japan CERT (JPCERT/CC) cikke ismerteti az ETW felépítését és azt, hogy hogyan használható forensics-re.

Forrás