Сегодня тема мониторинга ИТ-инфраструктуры и анализа логов набирает все большую популярность.
В первую очередь каждый задумывается о мониторинге событий безопасности, о которых пойдет речь в этой статье.
Несмотря на то, что на эту тему уже достаточно много сказано и написано, вопросов возникает еще больше.
И вот мы решили перевести статью « Контрольный список критического анализа журналов инцидентов безопасности ", написано Антон Чувакин И Ленни Зельцер , что будет полезно как тем, кто только начинает работать с мониторингом событий безопасности, так и тем, кто занимается этим достаточно давно, чтобы еще раз проверить себя, не упускаете ли вы какие-то возможности.
В этом контрольном списке представлены действия, которые необходимы, если вы хотите отслеживать журналы безопасности и быстро реагировать на инциденты безопасности, а также список возможных источников и событий, которые могут представлять интерес для анализа.
Общая схема действий
- Определите, какие источники журналов и автоматизированные инструменты могут использоваться для анализа
- Копирование записей журнала в одном месте , где вы можете просмотреть и обработать их все
- Создайте правила для определения того, какие события вам необходимы автоматически уменьшать «шум» бревен
- Определите, можете ли вы положиться на временные метки журналы; учитывать разницу часовых поясов
- примечание о последних изменениях, сбоях, ошибках, изменении статуса, доступе и другие события, необычные для вашей ИТ-среды
- Исследовать история событий восстановить действия до и после инцидента
- Сравнивайте действия в разных журналах чтобы получить полную картину
- Форма гипотеза о том, что произошло; посмотрите логи, чтобы подтвердить или опровергнуть это
Потенциальные источники журналов безопасности
- Журналы операционной системы серверов и рабочих станций
- Журналы приложений (например, веб-сервер, сервер базы данных)
- Журналы инструментов безопасности (например, антивирусов, инструментов обнаружения изменений, систем обнаружения/предотвращения вторжений)
- Журналы исходящих прокси-серверов и журналы приложений конечных пользователей
- Обязательно рассмотрите и другие источники событий безопасности, помимо журналов.
Стандартное расположение журнала
- Операционная система Linux и основные приложения: /вар/журнал
- Операционная система Windows и основные приложения: Журнал событий Windows (Безопасность, Система, Приложение)
- Сетевые устройства: обычно регистрируются через системный журнал ; некоторые используют свой собственный макет и форматы
Что искать в журналах Linux
| Событие | Пример записи в журнале |
|---|---|
| успешный вход в систему | «Принятый пароль», «Принятый открытый ключ», «Сессия открыта».
|
| Неудачные попытки входа | «ошибка аутентификации», «неверный пароль» |
| Завершение сеанса | «сессия закрыта» |
| Изменение вашей учетной записи | «пароль изменен», «новый пользователь», «удалить пользователя» |
| Действия Судо | "sudo:.
COMMAND=. ", "FAILED su" |
| Неисправности | «неудачно» или «неудачно» |
Что искать в журналах Windows
Ниже перечислены идентификаторы событий для Windows 2008 R2 и 7, Windows 2012 R2 и 8.1, Windows 2016 и 10. (В исходной статье в основном используются идентификаторы для Windows 2003 и более ранних версий, которые можно получить, вычитая 4096 из перечисленных значений EventID. ниже).Большинство событий, приведенных ниже, находятся в журнале событий Windows: безопасность, но некоторые регистрируются только на контроллере домена.
| Тип события | идентификатор события |
|---|---|
| События входа и выхода | Успешный вход 4624; неудачный вход в систему 4625; выход из системы 4634, 4647 и т. д. |
| Изменение вашей учетной записи | Создано 4720; включено 4726; изменено 4738; отключено 4725; удалил 630 |
| изменить пароль | 4724, 4723 |
| Запуск и остановка служб | 7035,7036 и т. д. |
| Доступ к объектам | 4656, 4663 |
Что искать в журналах сетевых устройств
Понимайте входящие и исходящие действия ваших сетевых устройств.Приведенные ниже примеры представляют собой выдержки из журналов Cisco ASA, но другие устройства имеют аналогичные функциональные возможности.
| Трафик, разрешенный брандмауэром | "Встроенное.
соединение" "список доступа. разрешен" |
|---|---|
| Трафик заблокирован брандмауэром | "список доступа.
отказано", "запретить входящие"; "Отрицать. " |
| Объем трафика (в байтах) | «Разрыв TCP-соединения.
длительность. байт.» |
| Использование каналов и протоколов | «предел.
превышен», «загрузка процессора» |
| Обнаружение атак | "атака со стороны" |
| Изменение вашей учетной записи | «пользователь добавлен», «пользователь удален», «уровень приватности пользователя изменен» |
| Доступ администратора | «Пользователь AAA.», «Пользователь.
заблокирован», «Ошибка входа в систему» |
Что искать в журналах веб-сервера
- Чрезмерное количество попыток доступа в несуществующие файлы
- Код (SQL, HTML) как часть URL-адреса
- Доступ к расширениям что ты не установил
- Сообщения о остановка/запуск/сбой веб-сервиса
- Доступ к «рискованным» страницам которые принимают ввод пользователя
- Код ошибки 200 ( успешный запрос ) на файлы, которые вам не принадлежат
- Ошибка аутентификации : Код ошибки 401.403.
- Неверный запрос : Код ошибки 400
- Внутренняя ошибка сервера : Код ошибки 500
Полезные ссылки
Примеры событий Windows для каждого EventID: EventID.Net Справочник событий журнала безопасности Windows: Энциклопедия журналов безопасности Windows Список инструментов анализа журналов: Лучшие инструменты управления журналами Другие «шпаргалки», связанные с реагированием на инциденты безопасности, в блоге одного из авторов оригинальной статьи: Шпаргалки по ИТ и информационной безопасности Если вам интересна эта тема, то пишите комментарии, мы будем рады вам ответить.Подпишитесь на нашу группу ВК и канал Телеграмма , если хотите быть в курсе новых статей.
Теги: #информационная безопасность #linux #it-инфраструктура #Windows #Администрирование серверов #Большие данные #безопасность #управление журналами
-
Какова Важность Обратных Ссылок?
19 Oct, 24 -
Типы Почв
19 Oct, 24 -
Блендер. Мастер Класс.
19 Oct, 24 -
«Письмо Для Тебя!»
19 Oct, 24 -
Газеты Вложили В Topix.net Еще $15 Млн.
19 Oct, 24 -
Статистика Приложений Магазина Windows
19 Oct, 24
