Есть ли способ настройки логгирования sysmon для отображения активности nmap/сканеров портов?

Question

[slavaNBA]

Очень интересна возможность настройка логгирования sysmon (настройка конфига) для отображения активности nmap/сканеров портов. Возможно ли вообще или же только snort?

Как я понимаю, sysmon будет логгировать только подозрительные исходящие соединения при соответствующей настройке конфига.

Пы. сы. просьба сильно не пинать толковой инфы нигде не нашёл.

Comments

[xmoonlight]

Ничего так и не вышло?

Answer 1

[xmoonlight]

Тут

Comments

[slavaNBA]

Пробовал. Стандартный скан nmap в kali не отрабатывает.

[xmoonlight]

slavaNBA, объясните: что и где ловите: пакеты, процессы, операционки, тип и направление трафика, карта сети.

[slavaNBA]

xmoonlight, ловить пытаюсь весь сетевой трафик с рабочих станций на вин10. (мне бы для начала и это детектить) Сейчас уже вопрос в другом - при установке sysmon опция -n отсутствует.

Что касательно опции детектить сканирование портов с помощью nmap - интересна возможность детектить такие сканирования внутри сети с одной рабочей станции на другую. к примеру.

[xmoonlight]

slavaNBA, почему хотите именно детектить, а не просто запретить политикой файрволла исходящий трафик?

[slavaNBA]

xmoonlight, такое возможно только относительно серверов с критической инфраструктурой, но не с рабочих станций, к сожалению.
Рассматривается сценарий загрузки малваря по неосторожности пользователя и последующем сканировании уже с зараженной рабочей станции всей сети и портов.

[slavaNBA]

xmoonlight, уточнил на GitHub, люди пишут что установка сисмон с опцией -n и вылетом - это общеизвестный баг. Вам с таким не приходилось иметь дело?

[xmoonlight]

slavaNBA, т.е. Вы хотите просто задетектить в сети, но не на рабочей станции.
А именно: Вы не имеете доступа к рабочим станциям и не можете там что-то ловить/ограничивать до того, как пакет уйдёт в любую сеть.
Верно?

[slavaNBA]

xmoonlight, да всё верно. В идеале ловить и на рабочих станциях тоже (это проще).
Пы.Сы. только что протеститовал конфиг с гитхаба для sysmon на тестируемой станции - логгирует только создание самого процесса nmap.exe на тестируемой машине (как я понял на большее и не стоит расчитывать)

[xmoonlight]

Святослав,

Рассматривается сценарий загрузки малваря по неосторожности пользователя и последующем сканировании уже с зараженной рабочей станции всей сети и портов.

pot-of-honey или тут?

[xmoonlight]

Святослав, поставить на любую машину и пусть ловит "левый" трафик.

[slavaNBA]

xmoonlight, Спасибо за подсказки. Дополню: нужно в конечном итоге именно логгирование событий сканирования т.к. потом логи будут засылаться в SIEM. Идея сделать цепочку: рабочие станции-win log collector-SIEM, последний будет отправлять аллерты.
Пока вижу только такой сценарий:
- С Sysmon на данный момент как я понял возможны танцы с бубном только путём добавления конфига который позволит логгировать события: 1) создания процесса nmap 2) сканирование nmap самого себя на предмет открытых портов.
- Весть входящий созданный nmap и иными сканерами трафик НА рабочие станции логгировать через snort

[xmoonlight]

slavaNBA, а софт с поддержкой логирования событий в win log collector - не рассматриваете?

[slavaNBA]

xmoonlight, как всегда - всё бесплатное рассматриваем. пока просто форвардим логи sysmon.