Обзор критических журналов для инцидентов безопасности
Эта шпаргалка представляет перечень критических журналов, когда реагируете на инцидент безопасности. Она также может быть использована для рутинных просмотров журналов
Общий подход
1. Определите, какие источники журналов и автоматизированных утилит можно использовать во время анализа.
2. Копируйте журнал в одно место, где вы сможете его потом просмотреть.
3. Минимизируйте уровень «шума», удалив повторяющиеся события , после подтверждения , потом они пригодятся.
4. Определите, можно ли полагаться на «метки времени» содержащие разные часовые пояса.
5. Фокус на последние изменения, сбои, ошибки, изменения статуса, доступа и управления событиями, и другие события которые необычны для вашей среды .
6. Вернуться назад во время из текущего , чтобы восстановить действия после и перед инцидентом.
7. Сопоставляйте активности в различных журналах, чтобы получить полную картину.
8. Разрабатывайте теории о том, что произошло, изучите журналы для подтверждения или опровержения.
Потенциальные источники журнала событий
Журналы событий на сервере и рабочей станции
Журналы приложений (т.е. web сервер, сервер БД, сервер FTP)
Журналы событий программ безопасности (например, антивирус, определение изменений,
Система определения/предотвращения атак)
Исходящие журналы прокси сервера и журналов конечного пользователя
Помните, что необходимо смотреть и другие источники не журнальных событий безопасности.
Типовое размещение журналов
Linux OS and core applications: /var/logs
Windows OS and core applications: Windows Event Log (Security, System, Application)
Network устройства: обычно регистрируются через Syslog, некоторые использующие собственные места размещения и форматы
Что искать в Linux
Вход пользователя | “Accepted password”, “Accepted publickey”, "session opened” |
Ошибка входа пользователя | “authentication failure”, “failed password” |
Пользователь вышел | “session closed” |
Учетная запись пользователя изменена или удалена | “password changed”, “new user”, “delete user” |
Sudo команды | “sudo: … COMMAND=…” “FAILED su” |
Ошибка службы (сервиса) | “failed” or “failure” |
Что искать в Windows
Event IDs указанные ниже для Windows 2000/XP.Для Vista/7 события безопасности event ID, add 4096 to the event ID.
Большинство событий, указанных ниже, в Журнале безопасности; многие события регистрируются только на Контроллере домена.
Пользователь вход\выход | вход 528, 540; ошибка хода n 529-537, 539; выход 538, 551,и т.д. |
Изменения учетной записи | Создание 624; включение 626; изменения 642;отключение 629; удаление 630 |
Смена пароля | свой: 628; остальные: 627 |
служба старт\стоп | 7035, 7036, etc. |
Доступ к объекту запрещен (если включен аудит) | 560, 567, etc |
Что искать на сетевых устройствах
Смотрите активность на внутреннем и внешнем интерфейсе.
Примеры ниже показывают отрывки из журнала Cisco ASA, Другие устройства имеют похожую функциональность
Трафик разрешенный файерволом | “Built … connection”, “access-list … permitted” |
Трафик блокированный файерволом | “access-list … denied”, “deny inbound”; “Deny … by” |
Байт отправлено (большие файлы?) | “Teardown TCP connection … duration … bytes …” |
Нагрузка и использование протокола | “limit … exceeded”, “CPU utilization” |
Определение активности атак | “attack from” |
Изменения учетной записи | “user added”, “user deleted”, “User priv level changed” |
Доступ администратора | “AAA user …”, “User … locked out”, “login failed” |
Что искать на Web Servers
Чрезмерные попытки доступа к несуществующим файлам
Коды (SQL, HTML) смотреть как часть URL
Доступ к расширения, которые вы не внедрили(применили)
Вэб служба остановлена/запущена/ошибка сообщения
Доступ к «рискованным» страницам, которые принимают пользовательский ввод
Смотрите журналы на всех серверах входящие в распределение нагрузки
Ошибка 200 on files that are not yours
Ошибка аутентификации | Error code 401, 403 |
Неверный запрос | Error code 400 |
Внутренняя ошибка сервера | Error code 500 |
Other Resources
Windows event ID lookup: www.eventid.net
A listing of many Windows Security Log events: ultimatewindowssecurity.com/.../Default.aspx
Log analysis references: www.loganalysis.org
A list of open-source log analysis tools:
securitywarriorconsulting.com/logtools
securitywarriorconsulting.com/logtools
Anton Chuvakin’s log management blog: securitywarriorconsulting.com/logmanagementblog
Other security incident response-related cheat sheets: zeltser.com/cheat-sheets
PS: Если Вы считаете, что есть ошибки в переводе - предлагайте свой вариант.
Источник (ENG)
Комментариев нет:
Отправить комментарий