Rastreando usuários em domínios Windows - Parte 1

Ter visibilidade e a possibilidade de rastrear as atividades dos usuários em uma rede é fundamental para uma equipe de cibersegurança conseguir identificar possíveis desvios, como comprometimentos de credenciais e extravio de dados, além de ajudar na investigação de um incidente.

Os eventos de log gerados por máquinas em uma rede Windows facilitam muito este trabalho pois são bem documentados e estruturados. Neste artigo serão indicados alguns dos principais eventos que podem ajudar nesta análise e as particularidades de cada um.

Evento 4624

Certamente é o principal evento a ser analisado pois ele é gerado sempre que uma sessão é iniciada em uma máquina. Este evento é compatível com versões a partir do Windows Vista para workstations ou Server 2008 para servidores.

Com ele podemos encontrar informações como:

• Account Name: Nome da conta que está reportando as informações de logon

• Account Domain: Domínio ou hostname que reportou o evento

• Logon Type: Um valor decimal que relaciona como o logon foi feito na máquina (detalhamento mais à frente)

Evento 4624 contendo alguns dos atributos

Após estas informações o evento complementa com os valores propriamente ditos da sessão na máquina:

• Account Name: Nome da conta que efetuou o logon

• Account Domain: Domínio ou hostname

• Logon ID: Um valor hexadecimal que identifica a sessão e pode ser utilizado para encontrar outros eventos correlacionados

• Process ID: Valor hexadecimal que identifica o processo que tentou fazer o logon

• Process Name: Mostra o caminho completo do processo e executável que tentou fazer o logon

• Workstation Name e Source Network Address: Na área de informações de rede, este atributo indica a máquina por onde o logon foi executado

• Authentication Package: Indica o protocolo de autenticação utilizado. A opção negotiate tentará utilizar preferencialmente Kerberos e, em segundo lugar, NTLM.

Evento 4624 - continuação

Este é um dos eventos mais completos, uma vez que mostra quais foram a máquina e usuários solicitantes da sessão até quais processos iniciaram o logon. No entanto, ao se pensar em monitoração de larga escala, existem dois problemas no gerenciamento deste evento: o primeiro é que este evento é gerado individualmente em cada máquina, trazendo a necessidade de monitorar todas as máquinas ou quantas forem necessárias. O segundo problema são subcategorias deste evento que podem trazer muito ruído na coleta das informações, mas antes de falarmos disso, é necessário abordar os tipos de logon.

A tabela abaixo foi gerada a partir das informações disponibilizadas oficialmente pela Microsoft e indicam a maneira como o logon foi feito. Os mais comuns são os tipos 2 e 3, sendo que o tipo 3 é gerado sempre que um serviço de rede ou aplicação precisa validar um acesso como, por exemplo, um acesso a uma rede compartilhada. Há ainda o tipo 10 que serve muito bem para monitorar atividades de uma conta executando acesso remoto interativo.

Aqui abordamos novamente um dos problemas de monitoração, em relação aos ruídos de eventos. O logon type 3 tem o potencial de gerar uma quantidade muito maior de eventos em comparação com os outros tipos. Veja abaixo uma amostragem, coletada pelo Arcon Labs:

Amostragem de logon types gerados durante um período de 10 horas

A proporção de eventos do tipo 3 equivale a 98% do total coletado e aqui devemos fazer algumas perguntas:

• É válido processar esta quantidade de eventos para uma quantidade de situações normais na operação de uma rede?

• É válido gastar processamento e espaço em disco para eventos que não serão aproveitados?

• Temos outras formas de garantir a monitoração se não coletarmos esta subcategoria de evento?

• Ao mesmo tempo, será que não há uma situação em particular onde podemos focar a monitoração do logon tipo 3? Ferramentas de fins maliciosos e que atuam na rede podem registrar eventos deste tipo. Uma opção é fazer uma estatística sobre estes dados e procurar por desvios nos padrões.

• Um cibercriminoso poderia se aproveitar dessa situação?

Estas dúvidas são muito mais abrangentes em relação aos dados a serem monitorados em uma empresa e obviamente não há uma resposta certa para esta situação. A escolha entre monitorar ou não deve ser feita sob análise dos riscos associados.

Um detalhe adicional sobre o evento 4624 é a existência de registro de sessões para logins bem específicos e padrões do sistema. Este material tem uma relação dos SID’s padrões em sistemas Windows.

Mais detalhes sobre o evento 4624 podem ser vistos aqui.

Confira o artigo Parte 2.

Referências:
Following a User’s Logon Tracks throughout the Windows Domain – Event Tracker

Event ID when a User is Added or Removed from Security-Enabled Global Group such as Domain Admins or Group Policy Creator Owners - Microsoft

4624(S): An account was successfully logged on – Microsoft

4624: An account was successfully logged on

Well-known security identifiers in Windows operating systems - Microsoft