2. Məlumat bazası strukturu və cədvəllər

Note

Paleon kollektoru tərəfindən toplanan məlumatların təhlili üçün laboratoriya “Tusi Paleon UI” alətini istifadəyə vermişdir. Sözü gedən alət toplanan məlumatları daha effektiv və daha sürətli şəkildə analiz etməyə imkan yaradır. Ətraflı məlumat üçün keçiddən istifadə edin.
_images/PaleonUI.png

Note

Tusi Paleon 1.4.0 versiyasından etibarən versiya uyğunsuzlqlarını aradan qaldırmaq üçün Tusi Paleon UI (TPU) Tusi Paleon ilə eyni qovluqda saxlanılacaqdır.

Paleon kollektoru toplanan məlumatları saxlamaq üçün SQL bazasından istifadə edir. SQL məlumat bazasının istifadə edilməsinin əsas səbəbi insidenti analiz edən analitikə sürətli və rahat şəkildə məlumatları təhlil, kompleks sorğular ilə baza içərisində axtarış imkanları yaratmaqdır.

_images/db.png

2.1. Cədvəllər

Qeyd edildiyi kimi “Paleon kollektoru” insidenti araşdıran analitikə məksimum rahatlıq yaratmaq məqsədi ilə toplanan məlumatları təyinatlarına uyğun olaraq xüsusi cədvəllər içərisində saxlayır. Analitik sözü gedən cədvəllər içərisində özünə lazım olacaq bütün məlumatları əldə edə bilər. Cədvəllər haqqında ətraflı məlumatı aşağıdakı bölmədən əldə edə bilərsiniz.

2.1.1. Sistem və insident haqqında ümumi məlumatlar

2.1.1.1. Case

Case cədvəli içərisində insident və hədəf haqqında qısa məlumatlar saxlanılır.

Case cədvəl strukturu

Sütün adı

Sütün açıqlaması

description

İnsident haqqında qeyd

engine_version

Snapshot götürən mühərrik versiyası

machine_guid

Hədəf kompüterə aid unikal identifikator

snapshot_time

Kollektorun artefaktları toplamağa başladığı zaman

screen_image

Hədəf kompüterin ekran rəsminin saxlandığı fayl yolu

2.1.1.2. SystemInfo

SystemInfo cədvəlində insident baş vermiş sistem (platforma) haqqında vacib məlumatlar saxlanılır.

SystemInfo cədvəl strukturu

Sütün adı

Sütün açıqlaması

system

Hədəf sistem

version

Hədəf ƏS versiyası

os

Hədəf ƏS

edition

ƏS buraxılış məlumatı

processor

İstifadə edilən prosessor adı

release

Sistem reliz məlumatı

current_user

Paleonu işə salan cari istifadəçi adı

host

Host adı

windir

Əməliyyat sistemi Windows qovluq yolu

sysdir

Əməliyyat sistemi system32 qovluq yolu

profiles_dir

Sistem istifadəçilərinin məlumatlarının saxlandığı qovluq yolu

locale

Cari sistem dili

keyboard_layouts

Cari sistemdə istifadə edilən klaviatura dilləri

timezone

Sistem saat qurşağı haqqında məlumat

current_local_time

Cari sistem lokal vaxt damğası

2.1.2. Web bələdçi və e-poçt klientlər haqqında məlumatlar

Günümüzdə zərərvericilərin bir çoxu internet və ya e-poçt üzərindən qarşı tərəfi yoluxdururlar. Bunu nəzərə alaraq Paleon sistemdə web bələdçi və e-poçt klientlərinə aid tarixçəni toplayır.

Note

Paleon kollektoru sözü gedən məlumatları avtomatik olaraq bütün istifadəçilər üçün toplayır

Caution

Paleon kollektoru web bələdçilər haqqında məlumat toplamağa çalışarkən sözü gedən web bələdçilərin fəaliyyət göstərmədiyinə diqqət yetirin.

2.1.2.1. Mozilla Firefox

Firefox cədvəlində Mozilla Firefox web bələdçisi ilə ziyarət edilən ünvanlar haqqında tarixçə saxlanılır.

Firefox cədvəl strukturu

Sütün adı

Sütün açıqlaması

last_visit_time_local

Göstərilən URL nə zaman ziyarət edilib (insident baş vermiş komputerin vaxt damğasına uyğun)

title

Ziyarət edilən səhifənin başlığı

url

Ziyarət edilən səhifə ünvanı (fayl uzatmaları daxil)

last_visit_time

2-ci sütün göstərilən məlumat (Mozilla Firefox orijinal vaxt damğası)

user

Səhifəni ziyarət edən istifadəçinin adı

2.1.2.2. Google Chrome

Chrome cədvəlində Google Chrome web bələdçisi ilə ziyarət edilən ünvanlar haqqında tarixçə saxlanılır.

Chrome cədvəl strukturu

Sütün adı

Sütün açıqlaması

last_visit_time_local

Göstərilən URL nə zaman ziyarət edilib (insident baş vermiş komputerin vaxt damğasına uyğun)

title

Ziyarət edilən səhifənin başlığı

url

Ziyarət edilən səhifə ünvanı (fayl uzatmaları daxil)

last_visit_time

2-ci sütün göstərilən məlumat (Google Chrome orijinal vaxt damğası)

user

Səhifəni ziyarət edən istifadəçinin adı

2.1.2.3. Microsoft Edge

Edge cədvəlində Microsoft Edge web bələdçisi ilə ziyarət edilən ünvanlar haqqında tarixçə saxlanılır.

Edge cədvəl strukturu

Sütün adı

Sütün açıqlaması

last_visit_time_local

Göstərilən URL nə zaman ziyarət edilib (insident baş vermiş komputerin vaxt damğasına uyğun)

title

Ziyarət edilən səhifənin başlığı

url

Ziyarət edilən səhifə ünvanı (fayl uzatmaları daxil)

last_visit_time

2-ci sütün göstərilən məlumat (Microsoft Edge orijinal vaxt damğası)

user

Səhifəni ziyarət edən istifadəçinin adı

Note

Microsoft Edge mühərrik olaraq Google Chrome ilə eyni mühərriki istifadə edir.

2.1.2.4. Opera

2.1.2.5. Mozilla Thunderbird

Thunderbird cədvəlində e-poçt klient Mozilla Thunderbird ilə gələn poçt içərisində ziyaret edilən ünvan tarixçəsi saxlanılır.

Thunderbird cədvəl strukturu

Sütün adı

Sütün açıqlaması

last_visit_time_local

Göstərilən URL nə zaman ziyarət edilib (insident baş vermiş komputerin vaxt damğasına uyğun)

title

Ziyarət edilən səhifənin başlığı

url

Ziyarət edilən səhifə ünvanı (fayl uzatmaları daxil)

last_visit_time

2-ci sütün göstərilən məlumat (Mozilla Thunderbird orijinal vaxt damğası)

user

Səhifəni ziyarət edən istifadəçinin adı

2.1.3. Şəbəkə aktivlikləri və məlumatları

İnsident baş verən sistemlərdə ilkin proses zərərvericini aşkarlamaq olur. Bu baxımdan şəbəkə aktivlikləri və ya sazlamaları olduqca əhəmiyyət kəsb edir. Buna görə Paleon şəbəkə ilə bağlı, insident-in araşdırılmasına töhvə verə biləcək kritik hesab edilən məlumatları toplayır və aşağıdakı cədvəllərdə saxlayır.

Note

Aşağıda qeyd edilənlər real vaxt rejimində toplanan məlumatlardır.

2.1.3.1. TCP bağlantıları

TCPTable cədvəlində TCP (Transmission Control Protocol) bağlantıları haqqında məlumatlar saxlanılır.

TCPTable cədvəl strukturu

Sütün adı

Sütün açıqlaması

pid

Bağlantını yaradan proses-in identifikasiya nömrəsi (Process Identifier)

local_addr

Yaradılan soketin lokal adresi

local_port

Yaradılan soketin lokal port nömrəsi

remote_addr

Bağlantı qurulan uzaq ünvan (adres)

remote_port

Bağlantı qurulan uzaq ünvan portu

2.1.3.2. UDP bağlantıları

UDPTable cədvəlində UDP (User Datagram Protocol) bağlantıları haqqında məlumatlar saxlanılır.

UDPTable cədvəl strukturu

Sütün adı

Sütün açıqlaması

pid

UDP sorğu üçün soket yaradan proses-in idetifikasiya nömrəsi (Process Identifier)

local_addr

Yaradılan soketin lokal adresi

local_port

Yaradılan soketin lokal port nömrəsi

2.1.3.3. IP konfiqurasiya

IPConfig cədvəlində kompüterə aid IP (Internet Protocol) konfiqurasiya məlumatları saxlanılır.

IPConfig cədvəl strukturu

Sütün adı

Sütün açıqlaması

content

ipconfig /all

2.1.3.4. Hosts faylı

Hosts cədvəlində hosts faylının tərkibi saxlanılır. Sözü gedən fayl uzun müddətdir zərərvericilər tərəfindən dəyişikliklərə məruz qalır və insident araşdırması zamanı mühüm rol oynayır.

Hosts cədvəl strukturu

Sütün adı

Sütün açıqlaması

content

Hosts faylının tərkibi

2.1.3.5. IP Yönləndirmə

IPRoute cədvəlində IP (Internet Protocol) yönləndirmə tablosu məlumatları saxlanılır.

IPRoute cədvəl strukturu

Sütün adı

Sütün açıqlaması

destination

Yönləndirilən ip ünvan

subnet

Alt şəbəkə adresi

gateway

Yönləndirmə qapısı adresi

adapter

Yönləndirmə edilən şəbəkə adapteri

type

Yönləndirmə tipi

protocol

Yönləndirmə protokolu

2.1.3.6. Şəbəkə paylaşımları

Shares cədvəlində insident baş vermiş kompüterə məxsus şəbəkə paylaşımları haqqında məlumatlar saxlanılır.

Shares cədvəl strukturu

Sütün adı

Sütün açıqlaması

name

Paylaşım adı

path

Paylaşılan obyekt ünvanı

current_uses

Paylaşılan obyektdən aktiv istifadə sayı

2.1.3.7. Təhlükəsizlik divarı

Firewall cədvəlində “Windows Firewall” qaydaları saxlanılır.

Firewall cədvəl strukturu

Sütün adı

Sütün açıqlaması

name

Qayda adı

rule

Qayda tərkibi

Nümunə:

Note

{620C8266-CBCB-43E1-97D9-E1736CCDCDB5} | v2.30|Action=Block|Active=TRUE|Dir=Out|App=%ProgramFiles%\Eicar\Eicar.exe|Name=EicarBlock|

2.1.3.8. DNS Keş

DNSCache cədvəlində aktiv DNS (Domain Name System) keş məlumatları saxlanılır.

DNSCache cədvəl strukturu

Sütün adı

Sütün açıqlaması

content

ipconfig /displaydns

2.1.3.9. ARP tablosu

ARPTable cədvəlində ARP (Address Resolution Protocol) protokolu haqqında məlumatlar saxlanılır.

ARPTable cədvəl strukturu

Sütün adı

Sütün açıqlaması

inet_addr

Internet adres

physical_addr

Bağlı olduğu fiziki ünvan

2.1.4. Proseslər

Bu bölmə olduqca önəm kəsb edir. Zərərvericilərin əksəriyyəti məhz bu bölmədə aşkarlanır və insident ekpertizasi üçün vacib hesab edilir. Bu baxımdan Paleon fəaliyyət göstərən proseslərə aid daha çox məlumat toplamaq üçün proqramlaşdırılmışdır.

2.1.4.1. Sistemdə fəaliyyət göstərən proseslər

Process cədvəlində snapshot vaxtı fəaliyyət göstərən proseslər və onlara aid kritik məlumatlar saxlanılır.

Process cədvəl strukturu

Sütün adı

Sütün açıqlaması

session_id

Prosesin fəaliyyət göstərdiyi sessiya identifikasiya nömrəsi

pid

Prosesin identifikasiya nömrəsi (Process Identifier)

ppid

Prosesi işə salan ana proses (parent) identifikasiya nömrəsi

name

Proses adı

user

Prosesin fəaliyyət göstərdiyi istifadəçi adı

file

Prosesə aid icra edilə bilən fayl

size

Prosesə məxsus icra edilə bilən faylın ölçüsü

verified

Prosesə məxsus icra edilə bilən faylın təsdiqlənib-təsdiqlənmədiyi (True | False (error code))

protected

Prosesə məxsus icra edilə bilən faylın sistem tərəfindən qorunub-qorunmadığı məlumatı (True | False)

debugged

Prosesin debug edilib-edilmədiyi haqqında məlumat

md5

Prosesə məxsus icra edilə bilən faylın MD5 xeş summası

sha1

Prosesə məxsus icra edilə bilən faylın SHA-1 xeş summası

sha2

Prosesə məxsus icra edilə bilən faylın SHA-2 xeş summası

ssdeep

Prosesə məxsus icra edilə bilən faylın ssdeep xeş summası

creation

Prosesə məxsus icra edilə bilən faylın yaradılma vaxt damğası

accessed

Prosesə məxsus icra edilə bilən fayla son müraciət vaxt damğası

modified

Prosesə məxsus icra edilə bilən faylın son dəyişdirilmə vaxt damğası

attributes

Prosesə məxsus icra edilə bilən faylın attributları

creation_time

Prosesin yaradılma vaxtı

wow64process

Prosesin hansı arxitektura üzərində işlədiyi haqqında məlumat

2.1.4.2. Sistemdə fəaliyyət göstərən proseslərə aid handle tablosu

Handles cədvəlində snapshot vaxtı sistemdə fəaliyyət göstərən proseslərə aid handle məlumatları saxlanılır.

Handles cədvəl strukturu

Sütün adı

Sütün açıqlaması

pid

Proses identifikatoru

handle

Handle dəyəri

2.1.4.3. Sistemdə fəaliyyət göstərən xidmətlər

Services cədvəlində snapshot vaxtı sistemdə fəaliyyət göstərən xidmətlər haqqında məlumatlar saxlanılır.

Services cədvəl strukturu

Sütün adı

Sütün açıqlaması

name

Xidmət adı

display_name

Xidmət ekran adı

type

Xidmət tipi

file

Xidmətin aid olduğu icra edilə bilən fayl

size

Xidmətin aid olduğu icra edilə bilən faylın ölçüsü

verified

Xidmətin aid olduğunu icra edilə bilən faylın təsdiqlənib-təsdiqlənmədiyi (True | False (error code))

protected

Xidmətin aid olduğunu icra edilə bilən faylın sistem tərəfindən mühafizə edilib edilmədiyi

md5

Xidmətin aid olduğu icra edilə bilən faylın MD5 xeş summası

sha1

Xidmətin aid olduğu edilə bilən faylın SHA-1 xeş summası

sha2

Xidmətin aid olduğu icra edilə bilən faylın SHA-2 xeş summası

ssdeep

Xidmətin aid olduğu icra edilə bilən faylın ssdeep xeş summası

creation

Xidmətin aid olduğu icra edilə bilən faylın yaradılma vaxt damğası

accessed

Xidmətin aid olduğu icra edilə bilən fayla son müraciət vaxt damğası

modified

Xidmətin aid olduğu icra edilə bilən faylın son dəyişdirilmə vaxt damğası

attributes

Xidmətin aid olduğu icra edilə bilən faylın attributları

2.1.4.4. Sistemdə fəaliyyət göstərən sürücülər

Drivers cədvəlində snapshot vaxtı sistemdə fəaliyyət göstərən sürücülər haqqında məlumatlar saxlanılır.

Drivers cədvəl strukturu

Sütün adı

Sütün açıqlaması

name

Sürücü adı

file

Sürücünün aid olduğu icra edilə bilən fayl

size

Sürücünün aid olduğu icra edilə bilən faylın ölçüsü

md5

Sürücüyə məxsus icra edilə bilən faylın MD5 xeş summası

sha1

Sürücüyə məxsus icra edilə bilən faylın SHA-1 xeş summası

sha2

Sürücüyə məxsus icra edilə bilən faylın SHA-2 xeş summası

ssdeep

Sürücüyə məxsus icra edilə bilən faylın ssdeep xeş summası

creation

Sürücüyə məxsus icra edilə bilən faylın yaradılma vaxt damğası

accessed

Sürücüyə məxsus icra edilə bilən fayla son müraciət vaxt damğası

modified

Sürücüyə məxsus icra edilə bilən faylın son dəyişdirilmə vaxt damğası

attributes

Sürücüyə məxsus icra edilə bilən faylın attributları

2.1.4.5. Proseslərin istifadə etdiyi modullar

Modules cədvəlində sistemdə fəaliyyət göstərən proseslərin yaddaşlarına yüklədikləri modullar (DLL) haqqında məlumatlar saxlanılır.

Modules cədvəl strukturu

Sütün adı

Sütün açıqlaması

pid

Modulu yükləyən prosesin idetifikasiya nömrəsi

file

Modulun aid olduğu icra edilə bilən fayl

base

Modulun yükləndiyi adres

md5

Modula məxsus icra edilə bilən faylın MD5 xeş summası

sha1

Modula məxsus icra edilə bilən faylın SHA-1 xeş summası

sha2

Modula məxsus icra edilə bilən faylın SHA-2 xeş summası

size

Modula məxsus icra edilə bilən faylın ölçüsü

creation

Modula məxsus icra edilə bilən faylın yaradılma vaxt damğası

accessed

Modula məxsus icra edilə bilən fayla son müraciət vaxt damğası

modified

Modula məxsus icra edilə bilən faylın son dəyişdirilmə vaxt damğası

attributes

Modula məxsus icra edilə bilən faylın attributları

2.1.4.6. Planlaşdırılmış tapşırıqlar

Tasks cədvəlində snapshot vaxtı sistemdə fəaliyyət göstərən planlaşdırılmış tapşırıqlar haqqında məlumatlar saxlanılır.

Tasks cədvəl strukturu

Sütün adı

Sütün açıqlaması

filename

Planlaşdırılmış tapşırıqların saxlanıldığı faylın yolu

2.1.4.7. Avtomatik başladılan proseslər

Autorun cədvəlində sistem başladılması zamanı avtomatik işə salınacaq proseslərin siyahısı saxlanılır. Zərərvericilər bu açardan növbəti sistem başladılmasında avtomatik icra edilmələri üçün istifadə edir və olduqca kritikdir.

Autorun cədvəl strukturu

Sütün adı

Sütün açıqlaması

key

İşə salınacaq prosesə aid reyestr açarı

name

Reyestr açar adı

data

İşə salınacaq prosesə aid məlumat

2.1.4.8. İcra edilə bilən fayl seçimləri

ImageFileExecutions cədvəlində Windows əməliyyat sistemində hər hansı proqram təminatının xəta verməsi durumunda işə salınacaq proqram təminatı aid məlumatlar saxlanılır. Zərərvericilər bu metod ilə bəzən legitim proqram təminatlarını zərərli proqram təminatı ilə dəyişirlər.

ImageFileExecutions cədvəl strukturu

Sütün adı

Sütün açıqlaması

name

Əvəzləcək proqram adı

value

Əvəzində işə salınacaq proqram

2.1.4.9. Aktiv pəncərələr

Windows cədvəlində insident baş vermiş komputerdə snapshot zamanı aktiv fəaliyyət göstərən pəncərələr haqqında məlumatlar saxlanılır.

Windows cədvəl strukturu

Sütün adı

Sütün açıqlaması

pid

Fəaliyyət göstərən pəncərənin aid olduğu prosesin idetifikasiya nömrəsi

title

Pəncərə başlığı

2.1.4.10. RunMRU əmrləri

RunMRU cədvəlində insident baş vermiş kompüterdə istifadəçinin “Windows + R” klaviş qısaltması ilə icra etdiyi əmrlərin siyahısı saxlanılır.

RunMRU cədvəl strukturu

Sütün adı

Sütün açıqlaması

user

Əmri icra edən istifadəçi (Reyestr açarı)

command

İcra edilən əmr

2.1.4.11. Prefetch

Prefetch cədvəlində insident baş vermiş kompüterə məxsus “Prefetch” qovluğunda mövcud olan faylların lokal kopyasının olduğu fayl yolları saxlanılır. Prefetch faylları insident araşdırması zamanı kritik önəmə sahibdir. Windows sistemdə ilk dəfə işə salınan proqramlar üçün prefetch faylları yaradır. Bu faylların işə salınan proqramın ehtiyyac duyduğu məlumatların bir nüsxəsini prefetch faylında saxlayır. Bu proqramın növbəti dəfə işə salınması ƏS-nin proqram daha sürətli şəkildə işə salınmasına köməkçi olur.

Prefetch cədvəl strukturu

Sütün adı

Sütün açıqlaması

user

Əmri icra edən istifadəçi (Reyestr açarı)

command

İcra edilən əmr

2.1.5. Windows hadisələri

Windows Hadisələri ƏS-nin və ya proqram təminatlarının önəmli gördüyü hadisələri loqlaşdırmaq üçün istifadə etdiyi mexanizmdir. İnsident ekspertizası zamanı burdan əldə olunan məlumatlar sayəsində yoluxma haqqında geniş məlumat əldə etmək mümkündür. Paleon sistemdə ekspertiza üçün önəmli gördüyü aşağıdakı hadisələri toplayır.

2.1.5.1. Windows Defender hadisələri

Evt_Defender1116 cədvəlində Windows ƏS ilə birlikdə defolt olaraq gələn antivirus proqram təminatının aşkar etdiyi təhlükələr haqqında məlumatlar saxlanılır.

Evt_Defender1116 cədvəl strukturu

Sütün adı

Sütün açıqlaması

timestamp

Hadisənin loqlaşdırıldığı tarix

detection_time

Təhlükənin aşkarlandığı tarix

threat_name

Təhlükənin adı

process_name

Təhlükəni işə salan (icra edən) proses faylı

detection_user

Təhlükəninin icra edildiyi istifadəçi adı

path

Təhlükənin fayl yolu

2.1.5.2. Uzaq masa üstü xidmətləri - Qoşulma cəhdləri

Evt_RDP_Connection_1158 cədvəlində uzaq masa üstü xidmətləri (RDP (Remote Desktop Services)) xidmətinə qoşulma cəhdləri haqqında məlumatlar saxlanılır.

Note

Bəzi hadisələrin sistem tərəfindən qeydə alınmağı üçün “Qrup Siyasəti” içərisindən aktiv edilməyi lazımdır.

Evt_RDP_Connection_1158 cədvəl strukturu

Sütün adı

Sütün açıqlaması

timestamp

Hadisənin loqlaşdırıldığı tarix

param1

Uzaqdan qoşulmağa cəhd edən kompüterin IP adresi

Note

Qoşulmağa cəhd deyərkən nəzərdə tutulan sistemə girişə cəhdləridir. Uzaq istifadəçinin sistemə daxil olub-olmadığı naməlumdur.

2.1.5.3. Uzaq masa üstü xidmətləri - Uğurlu qoşulma

Evt_RDP_Connection_1149 cədvəlində uzaq masa üstü xidmətləri (RDP (Remote Desktop Services)) xidmətinə uğurlu qoşulma (və ya uğursuz) haqqında məlumatlar saxlanılır.

Evt_RDP_Connection_1149 cədvəl strukturu

Sütün adı

Sütün açıqlaması

timestamp

Hadisənin loqlaşdırıldığı tarix

param1

Qoşulmaq istənin istifadəçi adı

param2

Qoşulmaq istənin kompüter adı

param3

Qoşulmanı icra edən uzaq IP ünvan

2.1.5.4. Uğurlu girişlər

Evt_UsrLogon_4624 cədvəlində sistemə daxil olmalar haqqında məlumatlar saxlanılır.

Evt_UsrLogon_4624 cədvəl strukturu

Sütün adı

Sütün açıqlaması

timestamp

Hadisənin loqlaşdırıldığı tarix

subject_username

Giriş edən istifadəçi adı

target_username

Giriş edilən istifadəçi adı

process_name

Əməliyyatı icra edən proses

ip_address

Giriş cəhdi edənin IP adresi

logon_type

Giriş tipi

2.1.5.5. Uğursuz giriş cəhdləri

Evt_UsrLogonFailure_4625 cədvəlində sistemə uğursuz girişlər haqqında məlumatlar saxlanılır. Ətraflı

Evt_UsrLogonFailure_4625 cədvəl strukturu

Sütün adı

Sütün açıqlaması

timestamp

Hadisənin loqlaşdırıldığı tarix

target_user_sid

Hədəf istifadəçi SID dəyəri

target_username

Hədəf istifadəçi adı

target_domain_name

Hədəf domen adı

ip_address

Qeydə alınıbsa giriş cəhdi edənin IP adresi

logon_type

Giriş tipi

failure_reason

Ugursuzluq səbəbi (xam formatda)

_status

Status

sub_status

Alt status

2.1.5.6. İstifadəçi lokal qruplarının siyahısının oxunulması

Evt_AccountManagment_4798 cədvəlində hər hansı bir prosesin istifadəçi lokal qrupunun siyahısını götürdüyü an qeydə alınan hadisə haqqında məlumatlar saxlanılır. Zərərvericilər tez-tez yoluxduqları kompüterlərdə istifadəçi, qruplar haqqında məlumat almağa çalışırlar.

Evt_AccountManagment_4798 cədvəl strukturu

Sütün adı

Sütün açıqlaması

timestamp

Hadisənin yaradılma vaxt damğası

caller_process_name

siyahını götürməyə cəhd edən proses

subject_user_name

Siyahını götürənin istifadəçi adı

subject_domain_name

Siyahını götürənin domen adı

target_user_sid

Hədəf istifadəçi SID dəyəri

target_user_name

Hədəf istifadəçi SID dəyəri

target_domain_name

Hədəf domen adı

2.1.5.7. Yeni yaradılan istifadəçilər

Evt_AccountManagment_4720 cədvəlində sistemdə yeni yaradılan istifadəçilər haqqında məlumatlar saxlanılır.

Evt_AccountManagment_4720 cədvəl strukturu

Sütün adı

Sütün açıqlaması

timestamp

Hadisənin yaradılma vaxt damğası

subject_user_name

İstifadəçini yaradan haqqında məlumat (istifadəçi adı)

subject_domain_name

İstifadəçini yaradan haqqında məlumat (domen adı)

target_user_name

Yaradılan istifadəçi adı

target_domain_name

Yeni istifadəçi domen adı

2.1.5.8. Silinən istifadəçilər

Evt_AccountManagment_4726 cədvəlində sistemdə yeni yaradılan istifadəçilər haqqında məlumatlar saxlanılır.

Evt_AccountManagment_4726 cədvəl strukturu

Sütün adı

Sütün açıqlaması

timestamp

Hadisənin yaradılma vaxt damğası

subject_user_name

İstifadəçini silən haqqında məlumat (istifadəçi adı)

subject_domain_name

İstifadəçini silən haqqında məlumat (domen adı)

target_user_name

Silinən istifadəçi adı

target_domain_name

Silinən istifadəçi domen adı

target_user_sid

Silinən istifadəçi SID-si

2.1.5.9. Yeni yaradılan xidmətlər

Evt_Service_7045 cədvəlində sistemdə yeni yaradılan yeni xidmətlər haqqında məlumatlar saxlanılır.

Evt_Service_7045 cədvəl strukturu

Sütün adı

Sütün açıqlaması

timestamp

Hadisənin yaradılma vaxt damğası

service_name

Xidmət adı

image_path

Xidmətin aid olduğu icra edilən bilən fayl

service_type

Xidmət tipi

target_domain_name

Silinən istifadəçi domen adı

service_account

Xidmətin icra ediləcəyi hesab

2.1.5.10. Yeni yaradılan xidmətlər - 2

Evt_Service_4697 cədvəlində sistemdə yeni yaradılan yeni xidmətlər haqqında məlumatlar saxlanılır.

Evt_Service_4697 cədvəl strukturu

Sütün adı

Sütün açıqlaması

timestamp

Hadisənin yaradılma vaxt damğası

subject_user_sid

Xidməti yaradan istifadəçi SID dəyəri

subject_user_name

Xidməti yaradan istifadəçi adı

subject_domain_name

Xidməti yaradan domen adı

service_name

Xidmət adı

filename

Xidmətin aid olduğu icra edilən bilən fayl

service_account

Xidmətin icra ediləcəyi hesab

service_type

Xidmət tipi

2.1.5.11. Audit loqlarının təmizlənməsi

Evt_Clean_1102 cədvəlində sistemdə təhlükəsizlik loqlarının təmizlənməsi haqqında məlumatlar saxlanılır.

Evt_Clean_1102 cədvəl strukturu

Sütün adı

Sütün açıqlaması

timestamp

Hadisənin yaradılma vaxt damğası

subject_user_sid

Audit loqlarını təmizləyən istifadəçi SID dəyəri

subject_user_name

Audit loqlarını təmizləyən istifadəçi adı

subject_domain_name

Audit loqlarını təmizləyən domen adı

2.1.5.12. Yeni yaradılan proseslər

Evt_NewProcess_4688 cədvəlində sistemdə yeni yaradılan proseslər haqqında məlumatlar saxlanılır.

Evt_NewProcess_4688 cədvəl strukturu

Sütün adı

Sütün açıqlaması

timestamp

Hadisənin yaradılma vaxt damğası

subject_user_sid

Prosesi işə salan istifadəçi SID dəyəri

subject_user_name

Prosesi işə salan istifadəçi adı

subject_domain_name

Prosesi işə salan domen adı

target_user_sid

Prosesin işə salınacağı istifadəçi SID dəyəri

target_user_name

Prosesin işə salınacağı istifadəçi adı

target_domain_name

Prosesin işə salınacağı domen adı

parent_process_name

Prosesi işə salan ana proses

new_process_name

Yeni yaradılan prosesin adı

cmdline

Yeni yaradılan prosesin komanda sətri

2.1.5.13. Planlaşdırılmış tapşırıqların yaradılması

Evt_TaskScheduler_4698 cədvəlində sistemdə yeni yaradılan planlaşdırılmış tapşırıqlar haqqında məlumatlar saxlanılır.

Evt_TaskScheduler_4698 cədvəl strukturu

Sütün adı

Sütün açıqlaması

timestamp

Hadisənin yaradılma vaxt damğası

subject_user_sid

Tapşırığı yaradan istifadəçi SID dəyəri

subject_user_name

Tapşırığı yaradan istifadəçi adı

subject_domain_name

Tapşırığı yaradan domen adı

task_name

Tapşırıq adı

task_content

Tapşırıq məzmunu

2.1.5.14. Planlaşdırılmış tapşırıqların silinməsi

Evt_TaskScheduler_4699 cədvəlində sistemdə silinən planlaşdırılmış tapşırıqlar haqqında məlumatlar saxlanılır.

Evt_TaskScheduler_4699 cədvəl strukturu

Sütün adı

Sütün açıqlaması

timestamp

Hadisənin yaradılma vaxt damğası

subject_user_sid

Tapşırığı yaradan istifadəçi SID dəyəri

subject_user_name

Tapşırığı yaradan istifadəçi adı

subject_domain_name

Tapşırığı yaradan domen adı

task_name

Tapşırıq adı

task_content

Tapşırıq məzmunu

2.1.5.15. Windows Installer quraşdırılma

Evt_MsiInstaller_1040 tablosunda Windows Installer (MSI) quraşıdırılmaya başlama haqqında məlumatlar yer alır.

Evt_MsiInstaller_1040 cədvəl strukturu

Sütün adı

Sütün açıqlaması

timestamp

Hadisənin yaradılma vaxt damğası

source

Quraşdırılma mənbəyi

2.1.6. Ofis sənədləri

Yeni nəsil zərərvericilərin hədəf sistemi yoluxdurmaq üçün istifadə etdiyi əsas fayl növlərindən biridə ofis sənədləridir. Bura Microsft Office, Adobe PDF (Portable Document Format) və s. aiddir. Bu baxımdan istifadəçilərin istifadə etdiyi son sənədlər haqqında informasiya insident expertizası zamanı analitikə vacib məlumatlar verə bilər. Paleon kollektoru insident baş vermiş kompüterdə istifadəçilərin son açdığı sənədlər ilə bağlı məlumatlarıda toplayır.

2.1.6.1. Microsoft Office sənədləri

Office cədvəlində insident baş vermiş kompüterdə istifadəçinin açdığı son sənədlərin siyahısı saxlanılır.

Note

Cari versiyada Office cədvəlində LiveID ilə açılan sənədlər yer almır.

Office cədvəl strukturu

Sütün adı

Sütün açıqlaması

fileinfo

Ofis sənədi haqqında informasiya (vaxt damğası və s.)

filename

Açılan ofis sənədinin tam fayl yolu

2.1.6.2. Adobe PDF sənədləri

2.1.7. Başqaları

2.1.7.1. İstifadəçilər

Users cədvəlində sistemdə mövcud istifadəçilər haqqında məlumatlar saxlanılır.

Users cədvəl strukturu

Sütün adı

Sütün açıqlaması

name

İstifadəçi adı

sid

İstifadəçi SID dəyəri

last_logon_time

Sonuncu giriş vaxt damğası (xam şəkildə)

utctime

Sonuncu giriş vaxt damğası (UTC formatı)

2.1.7.2. Disklər

Disks cədvəlində sistemdə aktiv disklər haqqında məlumatlar saxlanılır.

Disks cədvəl strukturu

Sütün adı

Sütün açıqlaması

label

Disk etiketi (C, D)

name

Disk adı

serialnumber

Disk seriya nömrəsi

filesystem

Disk fayl sistemi

device

Qurğu adı

freebytesavailabletocaller

Çağıran üçün əlçatan boş baytların sayı

totalnumberofbytes

Baytların ümumi sayı

totalnumberoffreebytes

Boş baytların ümumi sayı

2.1.7.3. Quraşdırılmış proqram təminatları

Programs cədvəlində sistemə quraşdırılan proqram təminatları haqqında məlumatlar saxlanılır.

Programs cədvəl strukturu

Sütün adı

Sütün açıqlaması

name

Quraşdırılan proqram təminatının adı

version

Quraşdırılan proqram təminatının versiyası

install_date

Quraşdırılma vaxtı

2.1.7.4. Kompüterə qoşulan USB avadanlıqlar

USBStor cədvəlində kompüterə qoşulan USB adavanlıqların siyahısı saxlanılır.

USBStor cədvəl strukturu

Sütün adı

Sütün açıqlaması

CompatibleIDs

Uyğun idetifikatorlar

FriendlyName

Avadanlığin daha oxunaqlı (dost) adı

Service

Xidmət növü

last_modified

Son qoşulma vaxtı

2.1.7.5. Əsas diskdə saxlanılan fayllar

Dir cədvəlində əsas disk (%homedrive%) içərisində saxlanılan faylların ixrac edildiyi faylın yolu saxlanılır. Məlumatlar seçim əsasında toplanır.

Dir cədvəl strukturu

Sütün adı

Sütün açıqlaması

filename

Fayl yolu

2.1.7.6. Sistemdə aktiv olan borular (Pipes)

Pipes cədvəlində sistem aktiv olan borular (pipes) siyahısı saxlanılır.

Pipes cədvəl strukturu

Sütün adı

Sütün açıqlaması

name

Boru adı