Microsoft on tuonut merkittävän parannuksen Windows-ympäristöjen tietoturvavalvontaan. Uusimmissa Windows 11 -versioissa käyttöjärjestelmään on lisätty natiivi kyvykkyys kerätä samoja erittäin tarkkoja tapahtumatietoja, joihin tietoturva-asiantuntijat ovat aiemmin tarvinneet erillisen Sysmon-asennuksen. Tämä on vielä insider ja beta versiossa saatavilla, mutta tulee kohta kaikkiin julkaisuihin mukaan.
Käytännössä tämä tarkoittaa, että Windows 11 pystyy nyt seuraamaan ja kirjaamaan hyvin yksityiskohtaisesti mitä koneella tapahtuu. Prosessien käynnistymiset, epäilyttävät komennot, rekisterimuutokset, verkkoon avautuvat yhteydet ja monet muut tapahtumat saadaan talteen suoraan Windowsin omiin tapahtumalokeihin ilman erillisiä lisätyökaluja.
Kyseessä on sama teknologia, joka tunnetaan nimellä Sysmon ja joka on ollut osa Sysinternals-työkalupakettia jo vuosia. Nyt tämä ominaisuus on tuotu suoraan osaksi Windows 11-käyttöjärjestelmää.
Mitä tämä tarkoittaa organisaatioille
Aiemmin syvällinen Windows-valvonta vaati erillisen Sysmon-asennuksen jokaiselle työasemalle ja palvelimelle. Se tarkoitti ylläpitoa, päivityksiä ja erillistä hallintaa.
Nyt sama näkyvyys saadaan käyttöön suoraan käyttöjärjestelmän omana ominaisuutena.
Tämä helpottaa merkittävästi:
-
Tietoturvapoikkeamien havaitsemista
-
Haittaohjelmien ja kiristyshaittaohjelmien toimintaketjujen jäljittämistä
-
Epäilyttävien PowerShell ja komentorivitoimintojen tunnistamista
-
Luvattomien etäyhteyksien ja verkkoaktiviteetin seuraamista
-
Jälkikäteistä forensiikkaa tietomurron jälkeen
Kaikki tapahtumat kirjautuvat normaaleihin Windows-lokeihin, joten ne voidaan lukea suoraan SIEM-, SOC- ja valvontajärjestelmillä ilman erikoisratkaisuja.
Miksi tämä on iso asia tietoturvan kannalta
Suurin osa nykyaikaisista hyökkäyksistä ei näy perinteisessä virustorjunnassa. Hyökkääjä käyttää koneella jo valmiina olevia työkaluja kuten PowerShelliä, komentokehotetta, WMI:tä ja järjestelmäprosesseja.
Tällainen toiminta näkyy vain, jos koneelta kerätään erittäin tarkkaa tapahtumadataa.
Juuri tähän Sysmon on ollut vuosia tietoturva-ammattilaisten luottotyökalu. Nyt tämä sama taso on saatavilla suoraan Windowsista ilman erillisiä asennuksia.
Käytännön hyödyt valvonnassa ja lokien keruussa
Kun ominaisuus otetaan käyttöön oikein, Windows 11 -laitteista saadaan esimerkiksi seuraavanlaista näkyvyyttä:
-
Mikä prosessi käynnisti toisen prosessin
-
Mitä komentoriviä käytettiin
-
Mihin IP-osoitteisiin kone avasi yhteyksiä
-
Mitä rekisteriavaimia muutettiin
-
Mitä tiedostoja luotiin tai muokattiin
-
Milloin epäilyttävä skripti suoritettiin
Tämä on juuri sitä dataa, jota tarvitaan tietomurron selvittämiseen tai sen estämiseen ajoissa.
Miten tätä kannattaa hyödyntää käytännössä
Pelkkä ominaisuuden olemassaolo ei vielä tuo hyötyä. Oleellista on oikea käyttöönotto ja lokien hyödyntäminen.
Suosittelemme seuraavaa toimintamallia:
-
Ominaisuus otetaan käyttöön hallitusti päätelaitteissa ja palvelimissa
-
Määritellään tarkka konfiguraatio mitä tapahtumia kerätään
-
Ohjataan lokit keskitettyyn lokienhallintaan tai SIEM-ratkaisuun
-
Rakennetaan hälytykset epäilyttävistä tapahtumaketjuista
-
Seurataan lokia aktiivisesti eikä vain säilytetä sitä
Ilman keskitettyä valvontaa arvokas tieto jää helposti hyödyntämättä.
Suomi Solutionsin näkökulma
Tämä muutos tekee Windows-ympäristöjen tietoturvavalvonnasta huomattavasti helpommin toteutettavaa myös pienille ja keskisuurille organisaatioille.
Syvällinen päätelaitteiden valvonta ei enää vaadi raskaita agenttiasennuksia tai monimutkaisia lisätyökaluja. Tarvitaan oikea konfiguraatio, lokien keruu ja osaaminen tulkita mitä data kertoo.
Juuri tässä kohtaa moni organisaatio tarvitsee apua.
Suomi Solutions auttaa ottamaan ominaisuuden käyttöön oikein, määrittelemään järkevän lokikonfiguraation ja liittämään Windows-laitteet osaksi keskitettyä tietoturvavalvontaa. Näin Windows 11 -laitteista saadaan irti todellinen tietoturvahyöty eikä vain lisää lokitietoa.
