Sigma项目规则优化：Windows事件日志注册表篡改检测范围扩展分析

背景概述

在Windows安全监控领域，事件日志的完整性保护至关重要。攻击者常通过修改注册表中事件日志的访问控制权限来隐藏恶意活动。Sigma项目中原有的检测规则(ba226dcf-d390-4642-b9af-b534872f1156)专注于监控系统事件日志(System)的权限变更，但实际环境中其他关键日志通道(如Security)同样需要保护。

技术细节解析

Windows事件日志系统在注册表中的配置路径为：

\SYSTEM\CurrentControlSet\Services\EventLog\

其下包含多个子项：

• System（系统事件）
• Security（安全事件）
• Application（应用程序事件）等

每个子项中的CustomSD值定义了该日志通道的访问控制权限。原规则仅监控System子项的变更，存在监控盲区。

实际案例分析

攻击者可能针对不同日志通道进行篡改：

1. 修改Security日志权限：隐藏账户登录等安全事件
2. 修改Application日志权限：掩盖恶意软件运行痕迹
3. 修改System日志权限：干扰系统故障诊断

典型攻击日志示例显示，攻击者通过PowerShell修改Security日志的CustomSD值，添加了拒绝所有人(WD)读取权限的ACE：

O:SYG:SYD:(D;;0x1;;;WD)

规则优化建议

1. 扩大检测范围至所有事件日志通道
2. 保持原有检测逻辑的精确性
3. 考虑添加例外处理机制（如白名单变更）

安全建议

对于企业安全团队：

1. 应监控所有关键日志通道的权限变更
2. 建立日志权限变更的审批流程
3. 定期审计日志系统的完整性

该优化已通过Pull Request提交至Sigma项目，体现了开源社区通过实践不断完善安全检测能力的典型过程。