Event Tracing for Windows (ETW) - это встроенный в ядро Windows высокопроизводительный механизм диагностики, обеспечивающий трассировку событий системы, приложений и драйверов с минимальными накладными расходами. Его архитектура основана на трёх компонентах: поставщиках (генерируют события), контроллерах (управляют сессиями сбора) и потребителях (обрабатывают данные). Система позволяет гибко включать/отключать мониторинг, фильтровать события по категориям и уровням детализации (ошибки, предупреждения, информационные сообщения).
Применение в информационной безопасности
ETW служит фундаментом для современных систем защиты Windows. В задачах кибербезопасности он используется для выявления скрытых угроз и расследования инцидентов. Например, ETW фиксирует подозрительные действия: инъекцию кода в процессы, аномальное использование PowerShell или WMI, попытки кражи учетных данных (Credential Dumping) через доступ к процессу LSASS, а также перемещение злоумышленников внутри сети (Lateral Movement).
Инструменты вроде Sysmon расширяют ETW, предоставляя детальную телеметрию о запуске процессов, сетевых подключениях и изменениях реестра. Решения класса EDR/XDR (CrowdStrike, SentinelOne) интегрируются с ETW для анализа поведения процессов в реальном времени. Специалисты по Threat Hunting используют ETW-данные для обнаружения persistence-механизмов вредоносного ПО, таких как создание скрытых служб, автозагрузочных задач или DLL-инжекции.
Ключевой поставщик событий безопасности — Microsoft-Windows-Threat-Intelligence — поставляет данные для Windows Defender ATP, включая детализацию по эксплуатации уязвимостей. Для анализа сырых данных ETW (ETL-файлов) применяются инструменты: Windows Performance Analyzer, PerfView и SilkETW, которые преобразуют события в структурированные отчеты для SIEM-систем.
Главные преимущества для ИБ:
- Возможность ретроспективного анализа атак по временным меткам событий;
- Обнаружение файловых шифровальщиков через мониторинг массовых операций записи;
- Контроль за сетевыми аномалиями (несанкционированные подключения, DNS-туннелирование);
- Интеграция с SOAR-платформами для автоматизации реагирования.
Без ETW современная защита Windows-инфраструктур была бы невозможна, так как он обеспечивает глубину видимости на уровне ядра, недоступную классическим журналам событий
