OPTIMIZING WINDOWS 10 AND WINDOWS SERVER 2016 LOGGING TO DETECT NETWORK SECURITY THREATS Đặt vấn đề: Việc thu thập phân tích nhật ký kiện cho phép phát gỡ lỗi hệ điều hành ứng dụng lỗi cấu hình Việc lựa chọn nhật ký kiện phù hợp cho phép bạn phát công mạng ngăn chặn thiệt hại tiềm ẩn Trong viết, tập trung vào việc lựa chọn tối ưu hóa nhật ký kiện cho máy chủ máy chủ Microsoft Windows hệ điều hành Chúng thực nghiệm xác minh cấu trúc số lượng nhật ký sản xuất đề xuất tối ưu hóa I Giới thiệu Thu thập phân tích nhật ký kiện tự động cho phép SIEM - Thông tin bảo mật kiện quản lý để phát mối đe dọa bảo mật công ty mạng lưới Lựa chọn nhật ký kiện tạo ảnh hưởng đáng kể đến chất lượng mối đe dọa an ninh phát yêu cầu kiến thức chi tiết hệ thống giám sát cấu hình Trong này, tập trung vào máy trạm Windows 10 Máy chủ Windows 2016 sử dụng máy tính phịng thí nghiệm để dạy lập trình hệ điều hành.Chúng tơi phân tích cài đặt mặc định hệ thống, áp dụng cài đặt bảo mật đề xuất chúng tơi có sửa đổi chúng Dựa thực nghiệm liệu thu từ giai đoạn riêng lẻ đo lường, thiết kế lọc để giảm liệu không cần thiết giảm tải SIEM.Thí nghiệm diễn nhiều giai đoạn Ở giai đoạn đầu tiên, nhật ký kiện lấy từ máy trạm cấu hình bảo mật ban đầu Một trình xem kiện tiêu chuẩn sử dụng để phân tích số lượng loại nhật ký kiện Trong giai đoạn thứ hai, bảo mật cài đặt nhà sản xuất đề xuất sử dụng [1] Công cụ Trình quản lý Tuân thủ Bảo mật (SCM) Microsoft chứa mẫu bảo mật cho phiên hệ điều hành chương trình chọn gói Với mục đích thử nghiệm, chúng tơi sử dụng Bảo mật máy tính Windows 10-1607 Mẫu tuân thủ 1.0 có chứa 765 mẫu cài đặt bảo mật điều khiển miền WS2016 Tuân thủ 1.0 có chứa 1013 cài đặt Sự gia tăng đáng kể số lượng đa dạng kiện ghi lại chúng tơi sử dụng Trình khám phá nhật ký kiện để phân tích [2] Cơng cụ cho phép hợp nhất, phân tích lọc hiệu nhật ký kiện Nhật ký kiện chụp phân tích điều chỉnh cuối bảo mật cài đặt Các thông số bảo mật đặt dựa kinh nghiệm riêng chúng tơi, tính đến xuất khuyến nghị [3-5] Nội dung nhật ký có phân tích chúng tơi đề xuất quy tắc cho sau lọc Trong giai đoạn thứ ba, cài đặt bảo mật sử dụng máy tính phịng máy tính nhật ký kiện thu thập máy chủ nhật ký Máy chủ nhật ký định cấu hình Windows 2012 R2 cách sử dụng thủ tục xuất - [6] Máy chủ nhật ký lọc liệu thu thập chuẩn bị chúng để xử lý SIEM - Hình 2 Tools User - Một vai trò quan trọng thử nghiệm hoạt động với cài đặt bảo mật hệ điều hành Giới thiệu Trung tâm Bảo mật Bộ bảo vệ Windows cập nhật dành cho người sáng tạo Windows 10 bao gồm năm trụ cột: virus & threat protection, device performance & health, firewall & network protection, app & browser control, family options Điều cho phép người dùng kiểm sốt khả hiển thị trải nghiệm bảo mật thiết bị, sức khỏe an toàn trực tuyến [7] Tuy nhiên, không rõ thông điệp thế hệ thiết lập để ghi nhật ký Cho tinh vi Cài đặt Windows 10 EDU, Bảo mật cục Trình chỉnh sửa sách có sẵn Trình chỉnh sửa cho phép bạn thay đổi cài đặt bảo mật máy tính cục bạn chi tiết, khơng thể theo dõi thay đổi bạn thực thay đổi bị ghi đè sách nhóm Giải pháp sử dụng Microsoft SCM [1] để tạo quản lý mẫu bảo mật Cài đặt mẫu - Tab xuất sử dụng sách bảo mật tồn cầu áp dụng cho miền thành viên Một trình khám phá nhật ký kiện sử dụng để phân tích nhật ký thu Event Log Explorer công cụ hiệu giải pháp phần mềm để xem, phân tích giám sát kiện ghi lại Microsoft Windows nhật ký kiện Event Log Explorer đơn giản hóa nhiều tăng tốc độ phân tích nhật ký kiện (bảo mật, ứng dụng, hệ thống, thiết lập, dịch vụ thư mục, DNS người khác) Event Log Explorer mở rộng chức Windows Event Viewer tiêu chuẩn mang nhiều tính Người dùng, người thử Sự kiện Log Explorer, xem giải pháp ưu việt để Windows Event Viewer giúp tăng cường suất gấp đơi [2] Các lợi ích chọn kiện trình khám phá nhật ký bao gồm: In the experiment, we focused on the Computer Security Compliance template, which contains 21 settings groups An example of a modification of the parameter in the security policy is in Fig instant access to event logs, efficient filtering, event log consolidation, export events and report generator, advanced filtering by any criteria including event description text, analytical reports - summary tables and pivot charts, servers import etc Example of event viewing in event log explorer is in Fig Since the analysis of the logs structure plays an important role in the experiments, we used the log file filtering option as shown in Fig 3 WORKSTATION EXPERIMENTAL RESULTS Mục đích giai đoạn thử nghiệm để xác định điểm bắt đầu, giai đoạn thứ hai phản ánh khuyến nghị nhà sản xuất tiếp tục giai đoạn thứ hai phản ánh kết tối ưu hóa Các giá trị đo cho thấy số loại kiện số đêm giao thừa ghi máy tính làm việc -Tab Kiểm tra cài đặt hệ điều hành mặc định thiết lập chứng minh không phù hợp với nhu cầu ID kiện tạo không đủ để phát mối đe dọa bảo mật Trong giai đoạn 2, chúng tơi thay đổi kiểm tốn tham số sử dụng Máy tính Windows 10-1607 Mẫu Tuân thủ bảo mật 1.0 có chứa 765 tham số, tham số ảnh hưởng đến tạo nhiều ID kiện Kiểm tốn tham số có tầm quan trọng xác định, với 202 quan trọng, 97 quan trọng, 39 tùy chọn thứ khác chưa xác định Các loại số lượng tạo kiện tăng lên đáng kể - Tab Dựa phân tích sâu cài đặt, có tính đến khuyến nghị xuất Windows bảo mật, xác định áp dụng cài đặt giai đoạn tối ưu hóa Số lượng cài đặt kiểm tra thay đổi cho giai đoạn thử nghiệm liệt kê Chuyển hướng Tổng số loại kiện kiện số lượng giảm, dự kiến kết tích cực Giai đoạn tối ưu hóa chứa 40 loại kiện, với 85 phần trăm kiện ID kiện: 5154, 5156, 5158 - Hình Để giảm thêm kiện xử lý, chúng tơi phân tích nội dung Sự kiện phong phú ID ID kiện 5156 tạo ghi Nền tảng lọc Windows (WFP) cho phép chương trình để kết nối với quy trình khác cục từ xa ID kiện 5158 tạo ghi ứng dụng máy khách máy chủ liên kết với cảng ID kiện 5154 tạo ghi WFP cho phép ứng dụng dịch vụ lắng nghe cổng cho kết nối đến Sự kiện Các ID đề cập cho biết mạng giao tiếp hệ điều hành chạy ứng dụng cải thiện đáng kể khả phát mối đe dọa an ninh Nhiệm vụ lọc hồ sơ không cần thiết Chúng tơi phân tích nội dung nhiều ID kiện cho mục đích lọc Các Cấu trúc ghi ID kiện 5156 hiển thị Hình Giao thức khám phá dịch vụ đơn giản (SSDP) khám phá thiết bị UPnP đại diện cổng 1900 2869 tạo 52 phần trăm tin nhắn, giao thức DHCP - cổng 67 với 13 phần trăm tin nhắn Dịch vụ SSDP Discovery cần thiết cho UPnP Media Center Extender, không sử dụng UPnP, dịch vụ bị vơ hiệu hóa tin nhắn lọc Thơng báo DHCP khơng thể sử dụng để phân tích chúng không chứa thông tin địa lớp liên kết thơng báo lọc Lọc nội dung đề cập thông báo giảm số lượng ID kiện 5156 kỷ lục 65 phần trăm Tương tự, cấu trúc Bản ghi ID kiện 5158 phân tích, 24 phần trăm ghi lọc ID kiện 5154 khơng thay đổi sau phân tích chúng tơi không thực lọc Trong Giai đoạn 3, áp dụng cài đặt từ Giai đoạn tối ưu hóa mà khơng cần lọc Ở phịng thí nghiệm, 15 máy vi tính sử dụng để giảng dạy học (từ 08:00 AM đến 11:15 AM) Để biết thêm giờ, 3,1 triệu ghi ghi lại, với 59 phần trăm ID kiện 5156 12 phần trăm ID kiện 5158 Kích thước tệp nhật ký tăng lên đến 10GB Sau áp dụng lọc cho liệu đầu vào, giảm 41 phần trăm tổng số số hồ sơ đến cuối 1,8 triệu SERVER EXPERIMENTAL RESULTS (kết kiểm tra sever) Phương pháp tương tự sử dụng cho cửa sổ Thử nghiệm máy chủ 2016 Windows 10 máy trạm Máy chủ Windows 2016 đóng vai trị điều khiển miền, máy chủ DNS DHCP Mục tiêu giai đoạn (Giai đoạn 1) thử nghiệm xác định điểm bắt đầu - cài đặt mặc định, giai đoạn thứ hai (Giai đoạn 2) phản ánh nhà sản xuất khuyến nghị tiếp tục phần thứ hai giai đoạn (Giai đoạn 3) phản ánh kết tối ưu hóa Kể từ bảo mật điều khiển miền yêu cầu khác với máy trạm, bước cuối (Giai đoạn 4) điều chỉnh cài đặt WFP thành so sánh kết Các giá trị đo cho thấy số loại kiện số đêm giao thừa ghi lại từ máy chủ làm việc Tab Kiểm tra cài đặt hệ điều hành mặc định thiết lập chứng minh không phù hợp với nhu cầu ID kiện tạo không đủ để phát mối đe dọa bảo mật Trong giai đoạn 2, thay đổi kiểm toán tham số sử dụng Bộ điều khiển miền WS2016 Mẫu Tuân thủ Bảo mật 1.0 có chứa 1013 tham số, tham số ảnh hưởng đến tạo nhiều ID kiện Số lượng thay đổi cài đặt kiểm tra cho giai đoạn thử nghiệm liệt kê Tab Tổng số loại kiện số lượng kiện tăng lên, kết đáng mong đợi tích cực Giai đoạn có 29 loại kiện, với 80 phần trăm kiện ID kiện: 5156 - Hình Như trường hợp máy trạm, số lượng lớn tổng số kiện 5156 tạo Của chúng thành phần khác nhau, 82% ghi thuộc hoạt động phân giải tên - cổng 53,137 5355 Nếu so sánh giai đoạn - máy chủ windows máy trạm tối ưu hóa giai đoạn 2, thấy số kiện tạo máy chủ hợp lý Cấu trúc kiện không cho phép lọc đáng kể mà không làm liệu liên quan bị bỏ qua thử nghiệm CONCLUSION Trong báo, tập trung vào việc lựa chọn tối ưu hóa Nhật ký kiện Windows 10 Hệ điều hành máy chủ Windows 2016 cho mục đích phát mối đe dọa bảo mật Chúng tối ưu hóa lựa chọn ID kiện tập trung vào mạng liên lạc Tối ưu hóa máy trạm Windows giảm loại kiện từ 73 xuống 40 giai đoạn Sau đó, chúng tơi phân tích cấu trúc ID kiện lọc thiết kế để loại bỏ tin nhắn không cần thiết Giải pháp đề xuất thực nghiệm kiểm chứng hoạt động bình thường 15 máy tính phịng thí nghiệm suốt khóa học Sử dụng lọc, giảm số lượng tin nhắn xuống 41 phần trăm Đưa nhu cầu triển khai theo thời gian thực vào 200 máy tính làm việc ngày, điều làm giảm đáng kể dung lượng ổ đĩa hiệu suất máy tính cần thiết để phân tích hồ sơ Bằng cách thay đổi cài đặt đề xuất theo giai đoạn máy chủâ windows 2016, tạo ID kiện bắt buộc trình lọc thêm chúng có khơng thực thay đổi đáng kể Mặc dù Windows 10 Windows Server 2016 sử dụng nhân, bảo mật khuyến nghị mẫu khác để tính đến mẫu khác tình sử dụng Do đó, cách tiếp cận cá nhân phải sử dụng để tối ưu hóa kiện tạo ... đặt đề xuất theo giai đoạn máy chủâ windows 2016, tạo ID kiện bắt buộc q trình lọc thêm chúng có khơng thực thay đổi đáng kể Mặc dù Windows 10 Windows Server 2016 sử dụng nhân, bảo mật khuyến nghị... Nhật ký kiện Windows 10 Hệ điều hành máy chủ Windows 2016 cho mục đích phát mối đe dọa bảo mật Chúng tơi tối ưu hóa lựa chọn ID kiện tập trung vào mạng liên lạc Tối ưu hóa máy trạm Windows giảm... kiểm tra sever) Phương pháp tương tự sử dụng cho cửa sổ Thử nghiệm máy chủ 2016 Windows 10 máy trạm Máy chủ Windows 2016 đóng vai trị điều khiển miền, máy chủ DNS DHCP Mục tiêu giai đoạn (Giai