Security Log  Management
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Security Log Management

on

  • 1,861 views

Security Log Management

Security Log Management

Statistics

Views

Total Views
1,861
Views on SlideShare
1,861
Embed Views
0

Actions

Likes
0
Downloads
15
Comments
0

0 Embeds 0

No embeds

Accessibility

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-ShareAlike LicenseCC Attribution-ShareAlike License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Security Log Management Document Transcript

  • 1. Икономически университет – Варна Център „Магистърско обучение” РЕФЕРАТ на тема „LOG MANAGEMENT” ПоБезопастност и защита на Microsoft мрежи и приложенияИзготвили: Проверил:Фатих Демирел, ФН 9301 Проф. Д-р. Стефан Дражев5 курс, спец. „Информатика – СС” Варна 2011 1
  • 2. СЪДЪРЖАНИЕКакво е Log?......................................................................................................................3Кои са източниците на Log?...........................................................................................3Грешки в log management................................................................................................4Време за печат..................................................................................................................4Архитектура на Active directory логове.........................................................................4За колко време трябва да запазим логовете?................................................................5Интеграция на лог файлове ...........................................................................................5Управление на log-файлове по отношение на стандарти............................................5Управление на log-файлове UNIX/Linux системи........................................................6Дисковото пространство:................................................................................................7Ефективността за въздействието на Вземане на log-файлове.....................................7В Kритични сървъри вземане на log-файлове..............................................................8Управление в апарати на мрежи и защита..................................................................13Вземане на log-файлове в бази данни .........................................................................13Log-файлове в приложения..........................................................................................13С SSIM (Symantec Security Information Manager) отдалечено вземане на log-файлове.........................................................................................................................................14С SQL Server Change Data Capture да се вземи log-файлове които се променени. .15Постижения....................................................................................................................20Използвани Литаратури................................................................................................23 2
  • 3. Какво е Log? Повечето приложения или компютри с различни формати записватпроцеси, които се правят, за да се информират потребителите,като тези данни,които са записани се наричат Log.Кои са източниците на Log ?Защитна стенаУсещане на атакаспиране системиNetwork апаратиСървър, PC и LaptopПриложения (SharePoint, IIS, Exchange)Бази данни (MsSQL, MySQL )Антивирусни програмиVPNUsb, CDProxy приложения Логовете преди се използваха, за да се решават системни проблеми, ноднес логовете се вземат за стандарти и защита. Като FISMA, HIBAA, SOX,COBIT, ISO 27001 международните стандарти са направили задължителноуправлението на логове. Целта на Log management проектите е клиенти, сървъри и firewallустройства, които произвеждат лог файлове, да събира данни и да гиконвертират с по-разбираемо значение . Аз ще направя база данни, с които можеда се извеждат данни за обяснение на логовете. Когато срещнем грешки всистемата ни и търсим решение ще можем да въведем event id и source и данамерим решение. 3
  • 4. Има много програми, които ни дават професионална помощ катоinfraskope, event log explorer, log parser, които дават възможност да изследвамелоговете на системата ни. Аз ще анализирам продукта Infraskope ,който есъздаден от фирмата на Karmasis. Infraskope от много време дава решение насредни и големи фирми. С лесна инсталация, интеграция и ефективност дава нафирмите голямо удобство. Kогато не ви е ясно можете да разгледате логовете на еvent id от този сайтhttp://www.eventid.net/Грешки в log management-Само системни администратори могат да разглеждат и анализират(създава риск)-Изобщо без да се разглеждат се изтриват-Краткосрочно записване на логове или отделяне на малко пространство залогове-Не се анализират или само когато има проблем се разглеждат-Игнориране на логове в приложениятаВреме за печат Информацията на hash (резюме) от Получаваните лог файлове трябва дабъде с точно време подписано и архивирано. Защото системнитеадминистратори или други могат да променят лог файловете и ние трябва дадокажем ,че не са променени. Time сървърите могат да бъдат пак променени.Можете да използвате услугите на фирмите, които предлагат да подписват свреме данните ви.Архитектура на Active directory логове Когато се отвори компютър, се говори ,че може да се направят другипроцеси и да се получи билета на *Kerberos (TGT). В този процес се записватслучай в DC Security лог с номер 672 (Authentication Ticket Granted)(Win2003).След това за GPO(group policy) и други процеси се създават две event с номера673 (Service Ticket Granted). След тези процеси веднага се променя датата наlogon. Този случай се записва като 646 (Computer Account Changed). Потребителите когато отварят компютрите си говорят с Domain Controller. Затова е възможно да изследваме потребителите кога се логват и на кои сървърисе постигат. 4
  • 5. *Керберос е удостоверяващ източника протокол използващ синхронизращтакт. Широко се използва от системите за удостоверяване на източник наданни.Използва симетрични ключове и изисква трета удостоверяваща страна.Разширения на Керберос използват и публични ключове през определени фази отудостоврението. Подслушваща трета страна може да компроментиравръзката: изпращайки отново прихванат временен ключ, може да се разбере иокончателния ключ.Използват се два абстрактни модула: Удостоверяващ сървър (Authenticationserver - AS) и Гарантиращ билетен сървър (Ticket-granting server - TGS).Удостоверяващия сървър знае всички ключове и отговаря при въвеждане напарола с билет за достъп, съдържащ ключа на удостоверявания. Билета задостъп се изполва допълнително с нов сесийен ключ за достъп до билетниясървър. Подобно протича и удостоверяването за други подобни услуги набилетния център.За колко време трябва да запазим логовете? То се променя в съответствие със законите и стандартите,нообщоприетото време е 90 дена за онлайн логовете и година за запазване наархивите .Интеграция на лог файлове Интеграцията на log-файловете е един от най- важните въпроси, за да седокаже ,че log-файловете не са променени. В UNIX можем да променимрежима да работи само при добавяне на файлове. Тогава може само да седобави, но не може да се промени т.е. съдържанието ще остане непроменено.Архивираните файлове преди да вземат резервно копие, ако се сложи електроненпечат за време, ще може да се докажат че са непроменени.Управление на log-файлове по отношение на стандарти Безопасността за данните насочени към стандартите, законите,наредбите идокладите са дали голям акцент върху действията, предприети в това отношениеса задължителни. Всеки стандарт иска различни неща, но в основата си той е единствен и затова с една лог файлова система може да се работят съвместими стандарти. 5
  • 6. Управление на log-файлове UNIX/Linux системи В UNIX системата обикновено се вземат логове Syslog. Приложения,скоито работи системата може да изпращат логове чрез Syslog върху систематаили върху отдалечена система. Но с този класически метод в системата, може дасе работи с команди или с промени върху файлове,които не може да секонтролират. Почти всички търговски системи UNIX имат уникалната инфраструктураза audit и тази инфраструктура, като се използва, командите работещи в системаможе да се вземат като log-файлове .Например, PCI DSS когато искат някоиданни за логове може да използваме BSM инфрастрактура.*Solaris за BSM може да се помогне когато направим конфигурация както е подолу:/etc/security/audit_controlНа този файл за да добавим долното редflags:lo,-fr,+fc,+fdи/etc/security/audit_userНа този файл ,за да добавим долния ред.root:ex,fr,fw,+aa:noоторизиран потребител: ex fr,fw,+fm:noВ системите на Windows вземането на log-файлове може да е малко по- лесно,нологовете не са толкова ясни. 6
  • 7. Дисковото пространство: Един от най-големите проблеми за анализиране на log-файлове е колкопространство ще отделим за логове в системата ни и колко логовепроизвежда.По принцип се правят грешки и се мисли, че не е толкова важно дасе запазят дълго време log-файловете , затова не се отделя достатъчнопространство. За една година средно дисково пространство се изчислява;365 ден x 24 час x 3600 секунди x 100 x 200 byte = 580~ gigabyte / yıl . Разбирасе, тази стойност е некомпресирани сурови данни. Е, тази стойност се намалява скомпресия. Ако използвате базата данни дневници трябва да умножите товачисло по 2-3.Ефективността за въздействието на Вземане на log- файлове Това се променя за всяка система ,която анализира log-файлове.Ако севземе да се анализира от системата целите log-файлове и се изпраща изцяломоже да има проблем за перформанса в системата и мрежата ви.За товаобикновенно се използват системи ,които работят с логиката на агент и тогавасе изпраща на централата за log-файлове,но не едновременно за това не тежи насистемата ви. Когато анализираме логове в бази от данни също трябва да се внимава исамо да се анализират важни процеси. Иначе базата от данни няма да може давърши основната му цел. Когато искате да измервате вземането на log-файловеза ефективност на въздействието избирайте всички select заявки от база даннитеи анализирайте загубите от това въздействие. Този процес ще доведе средно до30% от производителността. Когато се направи грешно вземане на log-файлове в системата на мрежата забезопастност ще може да отворите DDOS. Ако запишите на диск log-файловете,които получавате при тежък трафик, системата ви може да бъде неактивна. 7
  • 8. В Kритични сървъри вземане на log-файловеПроцеса на критични сървъри и вземане на log-файлове е1. Определяне на критични сървъри :Първата стъпка е да се определят критичните сървъри. Този процес е за 5-10сървърни фирми и може да не е много валиден. Но броят на сървърите въвфирмите когато са 500-1000 или дори повече тогава става сериозно да сеопредели. Защото когато се увеличават източниците за вземане на log-файловестава много по -трудно да се анализират и това създава сериозна тежест. Тогавастава много важен броя на Event Per Second (случаи за секунда). Когато EventPer Second се прехвърли може да имате загуба на log-файлове. Затова трябва данаправите списък с критични файлове. Критериите на определяне на критичнитефайлове;-За важността на стартираните приложения. Например, сървъри, които запазватинформация за заплатите и човешките ресурси.-Което запазва тези критични услуги. Например, като IIS, FTP и др сървърикоито дават услуги за местоположение.-Може да няма критични файлове, услуга или приложение върху сървъра ,но засервизите, които работят върху него може да е опасно да работят с различниакаунти. И това влиза в нашите критични сървъри.2. Определянето на видовете log-файлове трябва да бъде предприетоследното: На този етап в операционната система на сървъра се определя кои log-файлове трябва да се вземат . Ако даваме пример на Windows server ще бъдаткакто е по долу;  System Log  Application Log  Security Log Всеки компютър идва серийно оборудван освен тези политики заанализиране ,има и различни механизми за управление на log-файлове.Например в Active Directory върху DC (Domain Controller) има Directory Serviceили върху DNS сървър може да има регистри, които записват dns логове. Тука 8
  • 9. трябва да се определи точно какви log-файлове ще анализират, и трябва даизбягваме да не се натовари излишно системата ни.В фигура 1 типове системи и приложения event е;I. Information : Дава информация ,че някакви приложения или сервизи сеинсталират успешно.II. Warning : Дава информация ,че напред можем да срешнем проблеми. И затози случай да вземем мерки.III. Error : Дава информация ,че някои сервизи или приложения докато работи есрещнал някакви проблем.Фигура-1Типове на Security event са;I. Success : Записва когато се случват успешни случаи.II. Failure : Процеси, които са направени са неуспешни. В противен случай данните от регистъра искаме да направим запис .Фигура -2 в мониторинга на политиките и характеристики са, както следва: За да може да се вземат security логове трябва да се създаде чрезоперационни системи политики за анализа. В противен случай не можем да 9
  • 10. стигнем до данните на регистъра. В фигира 2 политиките за анализ и свойстваса;  Account Logon : Даннните за потребителите ,които са logon на Domain.  Account Management : Данните на откриване,изтриване и променяне на групи или потребители.  Directory Service Access: Данните, за които потребителите са отворили обекти на AD (Active Directory).  Logon Events : В локална или мрежа, данни на потребители които са logon/logoff.  Object Access : Изследване на потребителите, които правят промени във файлове и папки.  Policy Change : Анализира промени в политики.  Privlege Use : Записва промяна в системи. Например промени в системни часовници.  Process Tracking : Анализиране данните на работещи програми.  System Events: Данните които за restart и shutdown .Фигура 2 За да можете да конфигурирате тези политики трябва да сте член от групана администратори. За всички политики стига да изчертавате катоSucess/Failure. Значи позволява да се анализират успешни или неуспешнипроцеси. 10
  • 11. 3. Събиране на log-файлове в период от време: Трябва да се определи, че преди да се събират log-файлове, трябва да сесъбират определени периоди от време. В сървъри когато минава препоръчанатастойност в операционната система ще има проблем с непрекъснатостта набизнеса. За това преди да е в критични размери трябва да се вземат мерки.Ако разгледаме структурата на регистъра на събитията на Windows, размера нарегистрите не трябва да надвишава 300 MB. С Win 2008 не е проблем да естойност 16.4 GB. Другите стойности са накратко, както следва; • Win2003 16 mb • Win2003 DC 132 mb • Win 2000 и XP 512 kb Размера на log-файлове можа да стигне критични размери,като във фигура 3можете да разгледате “When maximum log size is reached” . 11
  • 12. Фигура-3 • Overwrite events as needed: Когато достигне критичната стойност размера на log-файловете, ще бъдат изтрити старите log-файлове. Когато не вземем на време ще загубим log-файлове. • Overwrite events older than: Размера на log-файлове когато достигна критичната стойност, новите log-файлове ще се запишат върху по- старите от 7 дни. • Do not overwrite events: Това означава, че няма да се запишат върху старите log-файлове и няма да бъдат изтрити никакви случаи. log-файлове може да бъдат изтрити ръчно. Но когато стигне критичната стойност може да се открие в операционната система проблеми.Препоръка; В критични сървъри опция на “When maximum log size is reached” дае “Overwrite events as needed”.4. Определяне на критични регистри:Когато започне процеса на събиране наlog-файлове от определени сървъри, да се определят правила за аларма и трябвда се определят критични лог регистри в сървъра. Например; 12
  • 13. • За проследяване на Logon/logoff Event Id 528, • Неуспешно влизане в система Event Id 529, • Изтриване на лог файлове Event Id 517, • За проследяване на променяне на акаунт Event Id 642, • За да се определи кои потребители влизат в системата чрез мрежа Event Id 540, • В уеб сървър променяне в index.html, • Спиране сервиза на Dhcp сървър т.н.5. Създаване на реално време Аларма и механизмите за мониторинг:Вземане на log-файлове в критични сървъри пети етап е аларма и механизма замониторинг наблюдение. Събиране на логове в определени сървъри и за наскритични log-файлове трябва да бъдат информирани на съответните лица чрезмаил, съобщение или popup и да се вземат мерки, без да губим време.6. Създаване на екрани за доклади: Освен анализиране на реално времедругият процес е log-файлове за съществуващи политики и удобни накритериите са седмично, месечно или годишно да се създадат доклади и да сеизпращат на съответните лица с формата на pdf, xlsx или docx.Управление в апарати на мрежи и защита В тези категории са Router, switch, wireless, VPN системи, firewall и IPS и втези системи обикновенно няма да има възможност да се инсталиратдопълнителни програми за това се използва syslog, за да изпраща log-файлове.Вземане на log-файлове в бази данни В база данни вземане на log-файлове се предпочита с два начина еднотоизползване на инфрастрактура на audit ,а другата е система на анализиранепасивно трафика на бази данни в сървъра и да се запази в смислен начин.Избиране на начина трябва да се направи според изискванията на бази данни.Ако имате притеснение за въздействието можете да избирате пасивно вземане наlog-файлове.Log-файлове в приложения При вземане на log-файлове най-неприятен компонент обикновено саразработените приложения. Тези приложения са написани в съотвествие сизискването за това дали липсват свойства за вземане на log-файлове или е 13
  • 14. много слаб. За такива приложения може да се направи вземане на log-файлове забази данни и така може да се намери решение за проблема, но ако напрограмисти обясните изискваниява ви за вземане на log-файлове може да иматепо хубави решения. Например приложения ,които никакви не вземани log-файлове иуправляван с отдалечен telnet, може да вземат логове чрез *Snort. Долуправилата на Snort за всички telnet връзки и характери, които минават презвръзки ще се запишат както е удобно за разбиране.log tcp any any <> $SERVER_IP 23 (session: printable;)И други приложения (ftp, sql vs) можете да анализирате същия начин пасивно.С SSIM (Symantec Security Information Manager) отдалечено вземане на log-файлове В SSIM интерфейса на log management раздел на "System" инсталирайтеколектора и ще намерите конфигурации. "Microsoft Windows Event Collector" еколектор в windows операционни системи от сървър и позволява клиенти давземат event логове. Конфигурация за сървъра ,който ще вземе log-файлове щевлизате както долу и за да вземате отдалечени логове.Тук е важното акаунта даима позволение да чете event logs.. 14
  • 15. С SQL Server Change Data Capture да се вземи log- файлове които се променени Във фирми един от най-големите проблеми е историческата информация,която трябва да поддържат да се промени или изтрие. До версията на SQL 2008трябваше да се запише под таблиците trigger или трябваше да промени пакетнипрограми. Тези тригери разбират променени регистри и позволяват да се запишекакъвто формат искате. С SQL Server 2008 идва едно свойство от името на CDC (Change DataCapture) и е много бързо и ефективно, че работи директно върху логове.Като например напишите UPDATE и работите както е долуUPDATE CUSTOMERS SET ACTIVE=1 В таблицата на CUSTOMERS да речем има създадени 20 области ,обачение само областа направихме update. Значи SQL Server transaction в логове правипроцес само за една област. Ето Change Data Capture (след това ще се наричаCDC) само чете тази информация и се записва за данните в log-файлове. Виекогато се конфигурирате CDC за определено време можете да вземате логовеили да изтриете след от определена дата. Тука когато пишете един script датитеви можете да вземате на някакви warehouse и после да изчистите от систематави. 15
  • 16. Сега да видим CDC как работи1. първо да създадем таблица.CREATE TABLE dbo.Customers(ID int Primary Key NOT NULL,Name varchar(100)NOT NULL,Address) varchar(500) NOT NULL)2.Ще направим enable CDC в база данни.EXEC sp_cdc_enable_db3.В таблицата ни да направим enable yapalım CDC.EXEC sp_cdc_enable_table @source_schema = Ndbo,@source_name =NCustomers,@role_name = NULL,@filegroup_name = N,@supports_net_changes=1Когато направим enable CDC под tables се създават таблици както е на долу. • cdc.captured_columns – запази критични области. Тази таблица може да се промени ръчно. • cdc.change_tables – Ще има данни за проследяване на промени за таблиците. 16
  • 17. • cdc.ddl_history – Данните за схема • cdc.lsn_time_mapping В основната таблица всички процеси за транзакция се записва в тази таблица и има данни за процеса на реда.И автоматично се създадават два job.Тези,cdc.TestDb_capture job:В log-файлове чете данните и се записват данните, коитоса променениcdc.TestDb_cleanup job: Изтрива тези, които са записани след определено време.4.Сега да се добави един регистър.INSERT INTO CUSTOMERS (1,MER,TRKYE)INSERT INTO CUSTOMERS(2,AHMET,STANBUL)5.Да направим UPDATE .UPDATE CUSTOMERS SET ADDRESS=ANKARA WHERE ID=16.Да направим DELETEDELETE FROM CUSTOMERS WHERE ID=1Сега направихме процеса 2 insert,1 update и 1 delete. Тука в системата трябва дазапишем логове за тези регистри.В системата може да видим регистри директно или с параметъра на дата (tablevalued function). В тези таблици регистри се записват с log sequence number (lsn).Когато искаме да постигмен регистри за log-файлове за цялата таблицаselect* from cdc.dbo_customers_CT.Формата на таблицата cdc.<schema>_<tablename>_CT .table valued функции се използват както е на долу.DECLARE @from_lsn binary(10), @to_lsn binary(10); 17
  • 18. --Намираме минимален номер на lsn.ET @from_lsn = sys.fn_cdc_get_min_lsn(dbo_customers);--намираме максималният номер на lsn .SET @to_lsn = sys.fn_cdc_get_max_lsn();-- С процеса на зависимост с CDC се използват функциите на CDC .SELECT * FROM cdc.fn_cdc_get_all_changes_dbo_customers(@from_lsn, @to_lsn,all);Тука разглеждаме резултата както е на долу.Както виждаме области ,които са повече от 4 и са промени в системата ни не сезаписват.Тука__$start_lsn log: Е съдържа данните на sequence number. Тук се постига датата зарегистъра.__$operation:Използва се за 2 Insert, 4 Update и 1 Delete.__$operation:1 Insert,Delete 0 UpdateЗа да видим датата на регистъра използваме функция наsys.fn_cdc_map_lsn_to_time. 18
  • 19. select sys.fn_cdc_map_lsn_to_time(__$start_lsn) as Време за регистър,*from cdc.dbo_customers_CTЗа да се изтриват тук създадените log-файлове ще запишем команда наsp_cdc_cleanup_change_table.-- долу командата изчистват log-файлове за три дни.declare @lsn binary(10);set @lsn = sys.fn_cdc_map_time_to_lsn(largest less than or equal,getdate()-3);exec sys.sp_cdc_cleanup_change_table @capture_instance = dbo_Customers,@low_water_mark=@lsn--за да направим disable CDCsp_cdc_disable_db,sp_cdc_disable_tableEXECUTE sp_cdc_disable_table@source_schema = Ndbo,@source_name =NCustomers,@capture_instance = Ndbo_CustomersРезултат:1.CDC наистина е нужен и полезен.2.В системата може да се изведат log-файлове както insert, update и delete.3.Ако е в update няма промени не запазва излишно място.Например: UPDATE CUSTOMERS SET NAME=NAME като работите не записваникакви log-файлове, защото няма промени. 19
  • 20. Постижения-кои компютри имат най-голяма мрежова активност(симптоми на (вируси,троянски коне)-кой какви документи изпраща чрез Msn, icq, skype...-Анализиране на перформанс-Откриване на успешни и неуспешни достъпи-Незабавно събиране на доказателства за разкриване на нарушенията иосигуряване-проследява се кой използва без лиценз програми и операционни системи- Хармония на FISMA, HIBAA, SOX, COBIT, ISO 27001 международнитестандарти и закони-корпоративни закони и стандарти-кой има достъп с Vpn връзка и по кое време-откриване на оторизиран и не оторизиран достъп -Проследяване на В файл сървър ,достъп до критични файлове и дейности( изтриване, създаване, променяне на собствеността)-С Вземането на логове от приложения на ESX и т.н., се определя кой създавасървъра, изтрива го или го изключва-Определяне като trojan приложения които работят от страна на клиентите-Проследяване на кои потребитети, по кое време и в кои компютри са online-Изчезва риска от изтриване на логове-Намираме с кой принтер е разпечатано и от кого-Кой иска достъп и с кой порт и компютър-В архитектурата на печат сървъра- какво се разпечатва и в кое устройство-Проследяване на потребителите по всяко време и с кои компютри работят-Незабавно разкриване на нарушенията и осигуряване на събирането надоказателства-Изследване на достъпа до критични файлове 20
  • 21. -Рискът от загуба и изтриване на досиета изчезва-Проследяване на Системните администратори (в големите фирми трябва да сеоткрива друг отдел за изследване на логове освен системните администратори.Защото логовете могат да се променят).-кой какво купира с usb дискове-Проследяването на промените Хардуер, IP, име на хост-Проследяването на програми като Msn, icq, skype-Могат да бъдат записани VoIP разговори-Определяне на приложения, с които работи клиента като sniffer (cain, wireshark)-Кои са направили port scan-Кои потребители използват P2P (Emule, Kazaa v.s) приложения( P2P (Pear to Pear) е технология, позволяваща потребители от цял свят даобменят информация помежду си - директно от един към друг компютър.В случая, както е показано на картинката. Връзката м/у компютрите сеосъществява чрез специален сървър, който играе ролята на свързваща точка.Самата информация не минава през сървъра, а директно м/у потребителите.Какво ни позволява p2p технологията? В днешно време, голяма част от информацията в интернет пространствотосе пренася чрез p2p. Файлове, Музика, Видео и Телевизии се пренасят м/употребителите.Сайтове като youtube, vbox7 и metacafe използват тази технология, за преносна аудио-видео клипове м/у потребителите.)-Като вземем log-файлове в Mail сървър, ще открием кой, кога и на кого еизпратил маил-С вземане на IIS логове, ще проследяваме достъпи до фирмени уеб страници-С вземане на Call Center логове , ще можем да извадим рапорти кой, кога и откъде се е обаждал. (Банки, GSM оператори) 21
  • 22. -С вземане на Tmg, Websense т.н. логове, ще може да се изпращат доклади науправители за достъпа на уеб страниците (facebook, cnn…)-Анализиране на логове за програми за отдалечен достъп и да разгледаме кой ина кой компютър е достъпен (Radmin, CA Remote т.н.)-С вземане на Firewall логове, можем да анализираме какви атаки се получават вкои ip адреси- При анализиране на Antivirüs логове , ще можем да разгледаме данните завирусите.-С вземане на сървър security логове се открие кои сървъри , кои и кога сесвързани (RDP)-С вземане на Mail security логове се откриват изпращачи на spam-Router, switch т.н. мрежови апарати с начина на syslog, snmp вземането на логовеоткриваме неоторизирани достъпи-Domain control и локалните потребителски акаунти се изследват, за дапроследяват промените на груповите свойства (добавяне на потребители наdomain admin група)-Приложения,в които има идентифициране с потребителско име и парола заЕлектронна търговия, Интернет клон и др се определя с атака на паролите (в 5мин пробваме парола повече от 100 пъти)-Логове на Web дейности 22
  • 23. Използвани Литаратури 1-http://www.sans.org/reading_room/whitepapers/logging/ 2-http://chuvakin.blogspot.com/ 3-http://www.xmcopartners.com/ 4-http://technet.microsoft.com/en-us/ms376608 5-http://cagatayisikci.wordpress.com 23