Güvenlik Olay Günlüklerini Neden Kullanmalıyım?

Bir davetsiz misafir yakalamak için plan yapmak zorundasın

Umarım, bilgisayarlarınızın yamasını ve güncelliğini korursunuz ve ağınız güvende olur. Bununla birlikte, bir noktada kötü niyetli aktivite, bir virüs , solucan , Truva atı, saldırı saldırısı veya başka bir şekilde vuracak olmanız oldukça kaçınılmazdır. Bu olduğunda, saldırıdan önce doğru şeyleri yaptıysanız, saldırının ne zaman ve nasıl başarılı olduğunu belirleme görevini yapacaksınız.

Eğer TV şovunu CSI ya da diğer herhangi bir polis ya da yasal TV şovunu izlediyseniz, araştırmacıların bir suçun failini tespit edebileceklerini, izleyebileceklerini ve yakalayabilecekleri en ince adli kanıtlarla bile biliyorsunuz.

Ancak, gerçekte faile ait olan bir saçı bulmak ve kendi sahibini tanımlamak için DNA testi yapmak için lifleri taramak zorunda olmasaydı hoş olmaz mıydı? Ne zaman temas kurdukları kişilere ve ne zaman bir kayıt tutulduysa? Ya o kişiye yapılan bir kayıt tutulduysa?

Durum böyle olsaydı, CSI'daki gibi araştırmacılar işsiz olabilir. Polis cesedini bulur, en son kiminle temas kurduğunu ve ne yapıldığını görmek için rekoru kontrol ederdi ve kazı yapmak zorunda kalmadan zaten kimliğe sahip olurlardı. Bilgisayarınızda veya ağınızda kötü amaçlı etkinlik olduğunda günlüğe kaydetme, adli kanıt sağlama açısından budur.

Bir ağ yöneticisi, günlüğe kaydetmeyi açmazsa veya doğru olayları kaydetmezse, yetkisiz bir erişimin veya başka bir kötü amaçlı etkinliğin zamanını ve tarihini veya yöntemini tanımlamak için adli kanıtları bulmak, tıpkı iğneli iğneyi aramak kadar zor olabilir. samanlık. Çoğu zaman bir saldırının temel nedeni asla keşfedilmez. Saldırıya uğrayan ya da virüs bulaşmış makineler temizlenir ve herkes, sistemlerin her şeyden önce vurulduklarından daha iyi korunduğunu bilmeden, her zamanki gibi işe geri döner.

Bazı uygulamalar varsayılan olarak işleri günlüğe kaydeder. IIS ve Apache gibi web sunucuları genellikle tüm gelen trafiği günlüğe kaydeder. Bu, web sitesini kaç kişinin ziyaret ettiğini, hangi IP adresini kullandıklarını ve web sitesiyle ilgili diğer metrik türü bilgileri görmek için kullanılır. Ancak, CodeRed veya Nimda gibi solucanlarda, web günlükleri, enfekte olmuş sistemlerin sisteminize erişmeye çalıştıklarında da gösterebilirler çünkü başarılı oldukları veya olmadıkları günlüklerde görünecekleri belirli komutları vardır.

Bazı sistemlerde çeşitli denetleme ve kaydetme işlevleri bulunur. Ayrıca, bilgisayarda çeşitli eylemleri izlemek ve günlüğe kaydetmek için ek yazılımlar da yükleyebilirsiniz (bu makalenin sağındaki bağlantı kutusundaki Araçlar bölümüne bakın). Windows XP Professional makinesinde, hesap oturum açma olaylarını, hesap yönetimini, dizin hizmeti erişimini, oturum açma olaylarını, nesne erişimini, ilke değişikliğini, ayrıcalık kullanımını, işlem izlemeyi ve sistem olaylarını denetlemek için seçenekler vardır.

Bunların her biri için başarı, başarısızlık veya hiçbir şey kaydetmeyi seçebilirsiniz. Örnek olarak Windows XP Pro'yu kullanarak, nesne erişimi için herhangi bir kaydı etkinleştirmediyseniz, bir dosyaya veya klasöre en son ne zaman erişildiğini gösteren bir kayıt olmaz. Yalnızca hata günlüğünü etkinleştirdiyseniz, birisinin dosyaya veya klasöre erişmeye çalıştığı ancak uygun izinler veya yetkilendirme olmaması nedeniyle başarısız olduğu bir kayda sahip olursunuz, ancak yetkili bir kullanıcının dosyaya veya klasöre erişmesiyle ilgili bir kayda sahip olmazsınız. .

Bir bilgisayar korsanı çatlamış bir kullanıcı adı ve şifre kullanabileceğinden, dosyalara başarılı bir şekilde erişebilirler. Günlükleri görüntülerseniz ve Bob Smith'in Pazar günü saat 3: 00'te şirket mali tablosunu sildiğini görürseniz, Bob Smith'in uyuduğunu ve muhtemelen kullanıcı adı ve şifresinin ele geçirildiğini varsaymak güvenli olabilir. Her halükarda, dosyaya ne olduğunu ve ne zaman olduğunu ve ne zaman olduğunu araştırmak için bir başlangıç ​​noktası sağladığını biliyorsunuz.

Hem başarısızlık hem de başarı kaydı yararlı bilgiler ve ipuçları sağlayabilir, ancak izleme ve kayıt etkinliklerinizi sistem performansı ile dengelemeniz gerekir. Yukarıdaki insan kayıt defteri örneğini kullanarak, araştırmacıların, iletişim kurdukları herkesle iletişim kurdukları ve etkileşimde olanları bir gün tutup tutmadıkları konusunda araştırmacılara yardımcı olur, ancak bu kesinlikle insanları yavaşlatır.

Bütün gün boyunca karşılaştığınız her karşılaşma için kimin ne, ne zaman ve ne zaman durduğunu ve yazacağınızı söylerseniz, üretkenliğinizi ciddi şekilde etkileyebilir. Aynı şey bilgisayar etkinliğini izleme ve kaydetme için de geçerlidir. Her olası başarısızlığı ve başarı kaydı seçeneğini etkinleştirebilirsiniz ve bilgisayarınızda devam eden her şeyin çok ayrıntılı bir kaydına sahip olursunuz. Bununla birlikte, performansınızı ciddi şekilde etkileyeceksiniz çünkü işlemci, birisi bir düğmeye bastığında veya farelerini tıkladığında, günlüklerde 100 farklı giriş kaydetmeye meşgul olacak.

Ne tür bir kayıt işlemenin sistem performansı üzerindeki etkisiyle faydalı olacağını ve sizin için en uygun dengeyi oluşturduğunu tartmanız gerekir. Ayrıca Sub7 gibi birçok bilgisayar korsanı aracının ve Truva atı programlarının, günlük dosyalarını eylemlerini gizlemek ve izinsiz girişleri gizlemek için izin veren yardımcı programları içerdiğini ve bu nedenle günlük dosyalarına% 100 güvenemeyeceğinizi unutmayın.

Kayıt işleminizi ayarlarken bazı şeyleri dikkate alarak performans sorunlarından ve muhtemelen hacker aracı gizleme sorunlarından kaçınabilirsiniz. Günlük dosyalarının ne kadar büyük olacağını ve ilk etapta yeterli disk alanına sahip olduğunuzdan emin olmanız gerektiğini ölçmeniz gerekir. Ayrıca, eski günlüklerin üzerine yazılacağını veya silineceğini veya günlükleri haftalık, haftalık veya başka bir periyodik olarak arşivlemek istiyorsanız, daha sonra geriye bakmak için daha eski verilere sahip olmanız için bir politika belirlemeniz gerekir.

Özel bir sabit sürücü ve / veya sabit sürücü denetleyicisi kullanmak mümkün ise, daha az performansa sahip olacaksınız çünkü günlük dosyaları, sürücüye erişmek için çalıştırmaya çalıştığınız uygulamalarla savaşmak zorunda kalmadan diske yazılabilir. Günlük dosyalarını ayrı bir bilgisayara (muhtemelen günlük dosyalarının depolanmasına ve tamamen farklı güvenlik ayarlarına) tahsis edebilecek olursanız, bir saldırganın günlük dosyalarını da değiştirme veya silme yeteneğini engelleyebilirsiniz.

Son bir not ise, çok geç olana kadar beklememeniz ve sisteminizin günlüğe bakmadan önce çökmesine veya tehlikeye girmesine gerek olmamasıdır. Günlükleri düzenli olarak gözden geçirmeniz önemlidir, böylece normalin ne olduğunu ve bir taban çizgisi oluşturduğunuzu bilebilirsiniz. Böylelikle, hatalı girişlere rastladığınızda, onları bu şekilde tanıyabilir ve çok geç olduktan sonra adli soruşturma yapmak yerine sisteminizi katılaştırmak için proaktif adımlar atabilirsiniz.