Step 3: Powershell Logging

Referenz: https://wazuh.com/blog/detecting-powershell-exploitation-techniques-in-windows-using-wazuh/

Konfiguration

Um PowerShell-Missbrauch zu erkennen, müssen wir PowerShell-Protokolle auf dem überwachten Windows-Endpunkt aktivieren und sammeln und benutzerdefinierte Regeln erstellen. In diesem Abschnitt wird beschrieben, wie Sie die erforderlichen Komponenten zur Erkennung von PowerShell-Missbrauch konfigurieren.

Windows-Endpunkt

Führen Sie die folgenden Schritte aus, um den Wazuh-Agenten für die Protokollsammlung aus PowerShell zu konfigurieren.

1. Öffnen Sie PowerShell als Administrator und führen Sie die folgenden Befehle aus, um die PowerShell-Protokollierung zu aktivieren. Dies ermöglicht eine detaillierte Protokollierung in PowerShell, da Windows aufgrund einer erhöhten Systemressourcennutzung und Speicheranforderungen standardmäßig keine detaillierten Informationen über ausgeführte Befehle in PowerShell sammelt:

2. Fügen Sie die folgende Konfiguration innerhalb der <ossec_config> Block der C:\Program Files (x86)\ossec-agent\ossec.conf Datei zum Weiterleiten von PowerShell-Protokollen zur Analyse an den Wazuh-Server. Oder ergänze dies direkt in den Gruppenprofilen für ein zentrales Management.

<lokale Datei>
<Standort>Microsoft-Windows-PowerShell/Betriebssystem</Standort>
<Protokoll_format>Ereigniskanal</log_format>
</lokale Datei>

3. Starten Sie den Wazuh-Agenten neu, um die Konfigurationsänderungen anzuwenden:

Neustart-Service -Name wazuh

Wazuh-Server

Führen Sie die folgenden Schritte auf dem Wazuh-Server aus, um benutzerdefinierte Regeln zur Überwachung der interessierenden PowerShell-Ereignisse zu erstellen.

1.  Fügen Sie die folgenden benutzerdefinierten Regeln hinzu /var/ossec/etc/rules/local_rules.xml Regeldatei:

Erläuterung:

  • Regel-ID 100201 Erkennt, wenn ein codierter Befehl über PowerShell ausgeführt wird.
  • Regel-ID 100202 benachrichtigt, wenn Windows Security einen Benutzer daran hindert, schädliche Befehle auszuführen.
  • Regel-ID 100203 Erkennt, wenn Befehle von Tools mit bekannten schädlichen Cmdlets ausgeführt werden.
  • Regel-ID 100204 erkennt, wann Mshta wird zum Herunterladen und Ausführen einer Datei verwendet.
  • Regel-ID 100205 Erkennt, wenn ein Skript ausgeführt wurde, wobei die Ausführungsrichtlinie auf Umgehen eingestellt ist.
  • Regel-ID 100206 Erkennt eine mögliche Download-Wiege, in der invoke-webrequest wird zum Herunterladen einer Datei verwendet.

2. Starten Sie den Wazuh-Manager neu, um die Konfigurationsänderungen anzuwenden:

systemctl Neustart wazuh-manager


Logspeicherkapazität auf OS erweitern: Damit bei einem Verbindungsunterbruch keine Logs verloren gehen wird die MaxSize (KB) auf 128 MB für die Ereignisprotokolle Microsoft-Windows-PowerShell/Operational und Windows PowerShell festlegen.

Fragen, Austausch oder Anregungen? 👉 info@blackbox51.ch