Microsoft ได้ประกาศการอัปเกรดครั้งสำคัญเพื่อยกระดับความสามารถด้านความปลอดภัยในระบบ Windows โดยจะรวมเครื่องมือ System Monitor (Sysmon) เข้ากับ Windows 11 Insider Preview Build 26300.7733 (KB5074178) โดยตรง ซึ่ง Sysmon เป็นเครื่องมือสำคัญที่ใช้โดยทีม Incident Response (IR) และศูนย์ปฏิบัติการความปลอดภัย (SOCs) เพื่อบันทึกข้อมูลเหตุการณ์ในระบบอย่างละเอียด เช่น การสร้างโปรเซส การเชื่อมต่อเครือข่าย และการเปลี่ยนแปลงเวลาในการสร้างไฟล์ การรวม Sysmon เข้าไปในระบบปฏิบัติการโดยตรงนี้จะทำให้การปรับใช้ความสามารถในการบันทึกเหตุการณ์ขั้นสูงเพื่อตรวจจับมัลแวร์และกิจกรรมที่เป็นอันตรายเป็นเรื่องง่ายขึ้นและเข้าถึงได้มากขึ้น ผู้ใช้ยังสามารถใช้ไฟล์การกำหนดค่า XML ที่กำหนดเองเพื่อกรองเหตุการณ์ที่เกี่ยวข้องได้ อย่างไรก็ตาม ฟีเจอร์ Sysmon ที่มาพร้อมกับ Windows นี้จะถูกปิดใช้งานตามค่าเริ่มต้นและผู้ดูแลระบบจะต้องทำการเปิดใช้งานเอง นอกจากนี้ การอัปเดตครั้งนี้ยังแก้ไขข้อบกพร่องสำคัญที่ทำให้แอปพลิเคชันค้างเมื่อโต้ตอบกับไฟล์บน OneDrive หรือ Dropbox และมีการปรับปรุง File Explorer ด้วย
Severity: ต่ำ
System Impact:
- Windows 11 (Insider Preview Build 26300.7733, KB5074178)
Technical Attack Steps:
Recommendations:
Short Term:
- สำหรับผู้ใช้ Windows 11 Insider Preview Build 26300.7733 (KB5074178) ให้เปิดใช้งานฟีเจอร์ Sysmon โดยใช้คำสั่ง PowerShell: `Dism /Online /Enable-Feature /FeatureName:Sysmon`
- หลังจากเปิดใช้งานฟีเจอร์แล้ว ให้ติดตั้งบริการ Sysmon เพื่อเริ่มการบันทึกเหตุการณ์ด้วยคำสั่ง: `sysmon -i`
- หากมีการติดตั้ง Sysmon เวอร์ชันสแตนด์อโลน (จาก Sysinternals) อยู่ก่อนแล้ว จะต้องถอนการติดตั้งเวอร์ชันดังกล่าวออกก่อนที่จะเปิดใช้งาน Sysmon ที่มาพร้อมกับ Windows 11 เพื่อหลีกเลี่ยงข้อขัดแย้ง
Long Term:
- ใช้ประโยชน์จากไฟล์การกำหนดค่า XML แบบกำหนดเองเพื่อปรับแต่งและกรองเหตุการณ์ที่ Sysmon บันทึกให้มีความเฉพาะเจาะจงกับความต้องการด้านความปลอดภัยขององค์กร เพื่อลด ‘log noise’ และเน้นข้อมูลที่เกี่ยวข้อง
- ผสานรวมข้อมูลบันทึกเหตุการณ์จาก Sysmon เข้ากับระบบ Security Information and Event Management (SIEM) หรือโซลูชันด้านความปลอดภัยอื่นๆ เพื่อให้สามารถตรวจสอบ วิเคราะห์ และตอบสนองต่อภัยคุกคามได้อย่างมีประสิทธิภาพ
- ติดตามการอัปเดตและคำแนะนำด้านความปลอดภัยจาก Microsoft อย่างต่อเนื่อง เพื่อให้มั่นใจว่าระบบได้รับการป้องกันล่าสุดและใช้ประโยชน์จากฟังก์ชันการทำงานใหม่ๆ ได้อย่างเต็มที่
Share this content: