来自 DDOS 2022-06-09 17:00 的文章

防cc攻击_网站防御服务_指南

防cc攻击_网站防御服务_指南

用于网络防御的Windows事件转发Palantirfollowsep 12,2017·16分钟阅读

跨数千台主机的事件检测和响应需要深入了解用户、应用程序和设备的操作和行为。虽然端点检测和保护工具可以提供一些开箱即用的功能,但深入了解和分析安全相关事件对于检测高级威胁至关重要。在过去几年中,Palantir维护了一个内部Windows事件转发(WEF)管道,用于从Microsoft Windows主机生成和集中收集具有法医和安全价值的日志。一旦收集并索引了这些事件,不仅可以针对高保真安全事件(如日志删除)构建警报和检测策略(ADS),还可以针对异常服务帐户访问、访问敏感文件系统或注册表位置或安装恶意软件持久性等偏离正常情况构建警报和检测策略(ADS)。这篇博文的目标有两个:第一,与WEF配置和管理工作流分享我们的经验和分步说明,第二,介绍我们最近开放的WEF整合配置、订阅和组策略对象库: GitHub项目为组织提供了必要的构建块,以快速评估WEF并将其部署到生产环境中,并集中公共努力改进WEF订阅并鼓励采用。虽然世界经济论坛近年来越来越受欢迎,但很少有全面的部署指南。因此,在我们看来,WEF在社区中的代表性仍然严重不足,我们希望该项目可以鼓励其他人将其用于事件检测和响应目的。当我们与全球各地的客户合作以帮助保护他们的环境时,我们相信,我们的配置代表了一个可靠的安全标准,可以应用于任何规模和成熟度的组织中,以提供即时的安全检测和响应结果。我们感谢微软、IAD和其他贡献者为这一领域所做的努力,并感谢他们提供了许多订阅、想法和建议,

WEF基础知识

Windows事件转发(WEF)是一个功能强大的日志转发解决方案,集成在现代版本的Microsoft Windows中,并在其Microsoft文档页面上提供了优秀的文档。总之:

Windows事件转发允许通过推送或拉送机制将事件日志发送到一个或多个集中式Windows事件收集器(WEC)服务器。WEF无代理,依赖于集成到操作系统中的本机组件。WEF支持Windows的工作站和服务器版本。WEF支持通过Kerberos(在域中)进行相互身份验证和加密,或者可以通过使用TLS(附加身份验证或非加入域的计算机)进行扩展。WEF具有丰富的基于XML的语言来控制提交哪些事件ID,抑制嘈杂的事件,将事件批处理在一起,并配置提交频率。订阅XML支持XPath的子集,这简化了编写表达式以选择您感兴趣的事件的过程。

机制

虽然WEF可以配置为源或基于收集器的模型,但我们将重点关注源启动的模型,路由ddos防御软件,其中每个设备将其日志转发到一个集中的收集器。这允许移动设备(如笔记本电脑)重新连接到网络,并按照自己的时间表转发日志。WEF连接需要几个基本组件:

组策略对象(GPO)来控制安全审核和事件日志记录。一个或多个服务器配置了Windows事件日志收集器服务(通常称为"WEF服务器"或"WEF收集器")。所有端点(域)的功能Kerberos或有效的TLS证书(非域)对于事件日志收集器服务器。在将转发事件的所有工作站和服务器上启用Windows远程管理(WinRM)。允许设备之间的WinRM连接的防火墙规则。GPO用于指定WEF订阅管理器的URL。一个或多个事件日志订阅。订阅是基于事件ID或其他标准的事件集合,用于告知端点要转发哪些事件日志。

在工作站上首次接收到适当的GPO时,会发生以下操作:

工作站配置安全审核并开始写入本地事件日志。工作站连接到订阅使用WinRM的管理器,通过Kerberos或TLS进行身份验证。在这两种情况下,均应用传输层加密。工作站在事件日志收集器的注册表中注册自身,并下载所有相关WEF订阅的列表。工作站定期向订阅文件中定义的事件日志收集器发送事件。此外,工作站以周期性心跳进行连接。

随着新设备添加到域并接收适当的安全日志记录和WEF订阅GPO,它们将自动开始转发事件,ddoscdn防御,从而减少确保日志覆盖率和质量的管理负担。以下是部署场景的可视化描述:

防cc攻击_网站防御服务_指南

WEF部署架构