WL-005 Sysmon 10 Process Access
주요 필드
| 필드 | 의미 | 예시 |
|---|
| winlog.event_id | Sysmon의 이벤트 식별자 (프로세스 접근 이벤트의 경우 값은 10) | 10 |
| winlog.computer_name | 이벤트가 발생한 대상 호스트(PC 또는 서버)의 컴퓨터 이름 | FS01.mycompany.local |
| winlog.event_data.SourceImage | 다른 프로세스의 메모리나 핸들에 접근을 시도한 주체(공격 실행) 프로세스의 전체 경로 | C:\\Windows\\system32\\rundll32.exe |
| winlog.event_data.TargetImage | 접근 대상이 된 타깃 프로세스의 전체 경로 (예: lsass.exe) | C:\\Windows\\system32\\lsass.exe |
| winlog.event_data.GrantedAccess | 타깃 프로세스에 대해 허가된 구체적인 접근 권한 플래그 (메모리 읽기, 복제 등) | 0x1410 |
| winlog.event_data.CallTrace | 함수가 호출된 메모리 상의 스택 추적 정보 (어떤 DLL과 함수가 관여했는지 확인 가능) | …C:\\Windows\\System32\\comsvcs.dll… |
| winlog.event_data.SourceUser | 접근을 시도한 주체 프로세스를 실행한 사용자 계정명 | MYCOMPANY\\svc_file |
커버하는 Techniques Used
탐지 포인트
| Technique | 관찰할 행위 | 주요 필드 |
|---|
| T1003.001 - OS Credential Dumping: LSASS Memory | 윈도우 표준 유틸리티인 rundll32.exe가 자격 증명 프로세스인 lsass.exe에 접근하여 메모리 읽기 권한 플래그(0x1410, 0x1F0FFF)를 확보하는 행위를 감시 | winlog.event_id, winlog.computer_name, winlog.event_data.SourceImage, winlog.event_data.TargetImage, winlog.event_data.GrantedAccess, winlog.event_data.CallTrace, winlog.event_data.SourceUser |
ELK Query 예시
winlog.channel : "Microsoft-Windows-Sysmon/Operational"
and winlog.event_id : 10
and winlog.event_data.TargetImage : *\\lsass.exe
and winlog.event_data.SourceImage : *\\rundll32.exe
and winlog.event_data.GrantedAccess : ("0x1410" or "0x1F0FFF")
and winlog.event_data.CallTrace : *comsvcs.dll*
