- PVSM.RU - https://www.pvsm.ru -
Сегодня тема мониторинга IT – инфраструктуры и анализа логов набирает все большую и большую популярность. В первую очередь все задумываются о мониторинге событий безопасности, о чем и будет идти речь в данной статье. Несмотря на то, что на эту тему сказано и написано уже довольно много, вопросов возникает еще больше. И поэтому мы решили сделать перевод статьи «Сritical Log Review Checklist for Security Incidents [2]», написанную Anton Chuvakin [3] и Lenny Zeltser [4], которая будет полезна как для тех, кто только начинает работать с мониторингом событий безопасности, так и для тех, кто имеет с этим дело довольно давно, чтобы еще раз проверить себя, не упускаете ли вы некоторые возможности.
В этом чек-листе представлены действия, которые необходимы, если вы хотите мониторить логи систем безопасности и оперативно реагировать на инциденты безопасности, а также перечень возможных источников и событий, которые могут представлять интерес для анализа.
Событие | Пример записи в логах |
---|---|
Успешный вход | «Accepted password», «Accepted publickey», «session opened» |
Неудачные попытки входа | «authentication failure», «failed password» |
Завершение сессии | «session closed» |
Изменение аккаунта | «password changed», «new user», «delete user» |
Действия Sudo | «sudo:… COMMAND=...», «FAILED su» |
Сбои в работе | «failed» или «failure» |
Идентификаторы событий перечислены ниже для Windows 2008 R2 и 7, Windows 2012 R2 и 8.1, Windows 2016 и 10. (В оригинальной статье используются в основном идентификаторы для Windows 2003 и раньше, которые можно получить, отняв 4096 от значений указанных ниже EventID).
Большинство событий, приведенных ниже, находятся в журнале безопасности (Windows Event Log: Security), но некоторые регистрируются только на контроллере домена.
Тип события | EventID |
---|---|
События входа и выхода | Successful logon 4624; failed logon 4625; logoff 4634, 4647 и т.д. |
Изменение аккаунта | Created 4720; enabled 4726; changed 4738; disabled 4725; deleted 630 |
Изменение пароля | 4724, 4723 |
Запуск и прекращение работы сервисов | 7035,7036, и т.д. |
Доступ к объектам | 4656, 4663 |
Изучите входящие и исходящие действия ваших сетевых устройств.
Примеры ниже – это выдержки из логов Cisco ASA, но другие устройства имеют схожую функциональность.
Трафик, допущенный файерволом | «Built… connection» «access-list… permitted» |
---|---|
Трафик, заблокированный файерволом | «access-list… denied», «deny Inbound»; «Deny ...by» |
Объем трафика (в байтах) | «Teardown TCP connection… duration… bytes...» |
Использование каналов и протоколов | «limit… exceeded», «CPU utilization» |
Обнаружение атаки | «attack from» |
Изменение аккаунта | «user added», «user deleted», «User priv level changed» |
Доступ администратора | «AAA user...», «User… locked out», «login failed» |
Примеры событий Windows по каждому EventID:
EventID.Net [5]
Справочник событий журнала безопасности Windows:
Windows Security Log Encyclopedia [6]
Список инструментов анализа журналов:
Best Log Management Tools [7]
Другие «шпаргалки», связанные с реагированием на инциденты безопасности в блоге одного из авторов оригинальной статьи:
IT and Information Security Cheat Sheets [8]
Если вам интересна эта тема, то пишите комментарии, мы будем рады вам ответить. Подписывайтесь в нашу группу VK [9] и канал Telegram [10], если хотите быть в курсе новых статей.
Автор: JuliaKoroleva
Источник [11]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/linux/285238
Ссылки в тексте:
[1] Image: https://habr.com/company/tssolution/blog/416313/
[2] Сritical Log Review Checklist for Security Incidents: https://zeltser.com/security-incident-log-review-checklist/
[3] Anton Chuvakin: https://www.gartner.com/analyst/40636
[4] Lenny Zeltser: https://zeltser.com/about/
[5] EventID.Net : http://www.eventid.net
[6] Windows Security Log Encyclopedia : https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx
[7] Best Log Management Tools: https://stackify.com/best-log-management-tools/
[8] IT and Information Security Cheat Sheets : https://zeltser.com/cheat-sheets/
[9] VK: https://vk.com/ts_solution
[10] Telegram: https://t.me/tssolution
[11] Источник: https://habr.com/post/416313/?utm_campaign=416313
Нажмите здесь для печати.