วันพฤหัสบดีที่ 10 พฤษภาคม พ.ศ. 2550

ความสำคัญของ Audit Process Tracking

หากใครทำการปรับแต่ง Log ของระบบปฏิบัติการ Windows ก็คงจะพบคุ้นเคยกับคำว่า Audit Process Tracking กันมาบ้าง เจ้า Audit Policy ตัวนี้จะทำการเก็บล็อคข้อมูลของโปรเซสที่ทำงานบนระบบ ซึ่งโดยปกติแล้วเราก็ไม่ได้สนใจแล้ว Audit Policy ตัวนี้กันสักเท่าไหร่ (เพราะปกติจะสนใจแต่ Logon/Logoff น่ะนะ)

แต่แล้วหลังจากที่ได้อ่านข้อมูลจากที่นี่ ผมก็เริ่มสนใจเจ้า Audit Policy ตัวนี้ขึ้นมาทันที เนื่องจากเจ้า Audit Policy ตัวนี้
ให้ข้อมูลที่ค่อนข้างจะมีประโยชน์มากสำหรับการตรวจสอบระบบหลังจากเกิดการบุกรุกขึ้น โดยเฉพาะอย่างยิ่งมีโปรเซสใดที่เกิดขึ้นใหม่หลังจากเวลาที่คาดว่าเกิดการบุกรุก โปรเซสขึ้นใหม่ที่เกิดขึ้นหลังจากการบุกรุกนี้ มีโอกาสที่จะเป็นโปรเซสที่ผู้บุกรุกทำการรันได้

หลังจากที่ทำการ enable Audit Process Tracking แล้ว เราสามารถทำการเรียกดูโปรเซสที่เกิดขึ้นได้ด้วยคำสั่งของ Microsoft Log Parser ดังนี้

C:\Program Files\Log Parser 2.2>LogParser -i:EVT -o:DATAGRID
"select EventID,
EXTRACT_TOKEN(Strings, 0, '|') AS ProcessID,
EXTRACT_TOKEN(Strings, 1, '|') AS ProcessName,
EXTRACT_TOKEN(Strings, 2, '|') As ParentProcessID,
EXTRACT_TOKEN(Strings, 3, '|') AS User
from security where eventid in (592)"

ผลลัพธ์ที่ได้เป็นดังภาพ

Photo Sharing and Video Hosting at Photobucket

คำสั่งของ LogParser ดังกล่าวเป็นการแสดงโปรเซสที่เกิดขึ้นบนระบบ (EventID คือ 592) ซึ่งจะแสดงหมายเลขโปรเซส (ProcessID), ชื่อของโปรเซส (ProcessName), หมายเลขของโปรเซสที่ทำการเรียกโปรเซสนั้น (ParentProcessID) และชื่อของผู้ใช้ที่ทำการรันโปรเซสนั้น (User)

หากต้องการทราบว่าโปรเซสใดที่จบการทำงานไป สามารถทำได้โดยการกำหนดหมายเลข EventID เป็น 593

การเปิดใช้งาน Audit Process Tracking มีประโยชน์มากสำหรับระบบที่เป็น honeypot เนื่องจาก honeypot นั้นจะเกิดประโยชน์สูงสุดก็ต่อเมื่อตัว honeypot เองนั้นถูกบุกรุก เช่นเดียวกับเจ้า Audit Policy ตัวนี้ที่จะเกิดประโยชน์สูงสุดเช่นกันหลังจากเกิดเหตุการณ์บุกรุกขึ้นแล้ว :)

ไม่มีความคิดเห็น: