Jurnal de aplicații – evenimente înregistrate de aplicații. Dezvoltatorii determină evenimentele înregistrate de aplicația lor. Aplicația poate înregistra informații din mai multe surse. Este important să notați sursa alături de ID-ul evenimentului.

Jurnal de sistem – evenimente înregistrate de sistemul de operare. De exemplu, problemele întâlnite de șoferi în timpul procesului de pornire.

Jurnal de securitate – evenimente legate de securitate, inclusiv încercările de autentificare sau ștergerea fișierelor. Administratorii determină ce evenimente să introducă în jurnalul lor de securitate, în conformitate cu politica lor de audit.

Jurnal de servicii de director – înregistrează operațiunile de director activ, cum ar fi autentificarea și modificarea privilegiilor. Disponibil numai pentru controlerele de domeniu.

Jurnalul serverului DNS – înregistrează activitatea DNS. Disponibil doar pe serverele DNS.

Jurnalul serviciului de replicare a fișierelor – înregistrează replicarea controlerului de domeniu, disponibil numai pe controlerele de domeniu. Sistemul Windows numit Event Viewer poate fi folosit pentru a vizualiza jurnalele de evenimente din toate categoriile de mai sus. Vizualizatorul de evenimente afișează informații despre un eveniment, inclusiv data și ora, numele de utilizator, computerul, sursa și tipul.

Tipuri de evenimente din jurnal de securitate

În timp ce toate tipurile de evenimente ar putea fi relevante în investigarea unui incident de securitate, jurnalele de securitate au o importanță deosebită. Windows generează o intrare de jurnal de securitate la încercările de conectare și înregistrează informații suplimentare dacă încercarea de conectare reușește. Tipurile de evenimente înregistrate sunt:

• Evenimente de conectare la cont
• Managementul contului
• Acces la serviciul director
• Evenimente de conectare
• Acces la obiecte
• Schimbarea politicii
• Utilizare privilegiată
• Urmărirea procesului
• Evenimente de sistem

Evenimente obișnuite în jurnal Windows utilizate în investigațiile de securitate

Iată câteva coduri de evenimente comune pe Windows 7/Vista/8/10 și Windows Server 2008/2012R2/2016/2019 (versiunile anterioare de Windows au coduri diferite), utilizate în mod obișnuit în investigațiile de securitate:

• 4624 Conectare reușită
• 4625 Conectare eșuata
• 4634 Deconectare cont
• 4648 Încercarea de conectare cu acreditări explicite
• 4719 Schimbarea politicii de audit al sistemului
• 4964 Grup special alocat unei noi încercări de conectare
• 1102 Jurnalul de audit a fost șters
• 4720 Cont de utilizator nou creat
• 4722 Cont de utilizator activat
• 4723 Încercați să schimbați parola
• 4725 Cont de utilizator dezactivat
• 4728 Utilizator adăugat la grupul global privilegiat
• 4732 Utilizator adăugat la grupul local privilegiat
• 4756 Utilizatorul a fost adăugat la grupul universal privilegiat
• 4738 Schimbați la contul de utilizator
• 4740 Utilizator blocat dintr-un cont
• 4767 Cont de utilizator deblocat
• 4735 Modificare la grupul local privilegiat
• 4737 Modificare la grup global privilegiat
• 4755 Modificare la grup universal
• 4772 Solicitare eșuată pentru bilet Kerberos
• 4777 Controlerul de domeniu nu a reușit să valideze acreditările
• 4782 Hash parola contului accesat
• 4616 Ora sistemului a fost schimbată
• 4657 Modificare la valoarea de registry
• 4697 Încercarea de instalare a serviciului
• 4946 Regula adăugată la excepția Windows Firewall
• 4947 Regula modificată în excepția Windows Firewall
• 4950 Setările Windows Firewall se modifică
• 4954 Modificare la Politica de grup Windows Firewall
• 5025 Serviciul Windows Firewall sa oprit
• 5031 Aplicație blocată de Windows Firewall de la acceptarea traficului
• 5155 Platforma de filtrare Windows a blocat ascultarea unui serviciu pe un port

Utilizarea jurnalelor de evenimente Linux pentru securitate

Sistemul de operare Linux stochează o cronologie a evenimentelor legate de server, nucleu și aplicații care rulează. Principalele categorii de jurnal sunt:

• Jurnalele aplicațiilor
• Jurnalele evenimentelor
• Jurnalele de service
• Jurnalele de sistem

Există mai multe moduri de a vizualiza jurnalele în Linux: Accesați directorul cd/var/log. Tipuri specifice de jurnal sunt stocate în subdirectoare sub folderul jurnal, de exemplu, var/log/syslog. Utilizați comanda dmseg pentru a naviga prin toate jurnalele de sistem Utilizați comanda tail, care afișează ultimele linii scrise într-un anumit fișier jurnal, unde se găsesc de obicei probleme. De exemplu, tail -f /var/log/syslog tipărește următoarea linie scrisă în fișier, permițându-vă să urmăriți modificările aduse fișierului syslog pe măsură ce se întâmplă.

Următoarele sunt fișierele jurnal Linux utilizate în mod obișnuit:

• /var/log/syslog sau /var/log/messages – jurnalele generale de activitate ale sistemului. Folosit pentru a detecta problemele care pot apărea în timpul pornirii sau pentru a izola erorile de serviciu ale aplicației. Sistemele bazate pe RedHat stochează informații în folderul mesaje, în timp ce sistemele bazate pe Debian le stochează în folderul syslog.
• /var/log/auth.log sau /var/log/secure – toate jurnalele de autentificare și autorizare. Folosit pentru a investiga încercările eșuate de conectare. Sistemele bazate pe RedHat le stochează în folderul auth.log, în timp ce sistemele bazate pe Debian le stochează în folderul securizat.
• /var/log/kern.log – jurnalele de activitate ale nucleului, inclusiv nucleele personalizate.
• /var/log/faillog – încercări de conectare eșuate.
• /var/log/maillog sau var/log/mail.log – jurnalele legate de serverele de mail. Folosit pentru a urmări probleme precum e-mailurile etichetate ca spam și utilizarea suspectă a postfixului sau smtpd. Pe ce date ar trebui să vă concentrați în investigația de securitate a jurnalelor de evenimente Linux? Efectuați o evaluare a riscurilor pentru sistemele Linux din organizația dvs. și determinați ce nivel de înregistrare au nevoie, cum ar trebui să fie revizuite jurnalele și ce evenimente de jurnal ar trebui să genereze alerte de securitate. În cele mai multe cazuri, va trebui să înregistrați următoarele informații despre un sistem Linux din motive de securitate:
• ID-uri utilizator și terminal
• Încercări de conectare și deconectare de către utilizatori
• Orice încercare de a accesa sisteme, date, aplicații, fișiere sau rețele, fie pe mașina locală, fie printr-o rețea LAN sau WAN
• Modificări ale configurației Linux
• Rularea proceselor executabile pe mașină
• Utilizarea utilităților de sistem
• Evenimente legate de securitate, activarea sau dezactivarea instrumentelor de securitate

Informații de securitate și management al evenimentelor (SIEM).

Înregistrarea SIEM este procesul de agregare și monitorizare a jurnalelor în scopuri de securitate. Sistemele SIEM sunt folosite de echipele de securitate pentru a colecta date despre evenimente de la sistemele IT și instrumentele de securitate dintr-o organizație și le folosesc pentru a identifica comportamentul suspect care ar putea semnifica un incident de securitate.

Evenimentele comune de jurnal legate de securitate urmărite de un SIEM includ:

• Alertă de la protecția antivirus sau endpoint a unei infecții cu malware
• Alertă de la un sistem de e-mail despre spam sau conținut rău intenționat dintr-un e-mail
• Alertă firewall despre traficul de rețea blocat
• Conexiune la un sistem de la gazdă sau IP necunoscut
• Conectări eșuate, mai ales dacă sunt repetate sau sunt direcționate către sisteme critice
• Modificarea privilegiilor utilizatorului, în special escaladarea privilegiilor
• Utilizarea de porturi noi sau necunoscute sau de protocoale care nu sunt sigure sau încalcă politica de securitate

Detectarea incidentelor de securitate folosind reguli de corelare

În mod tradițional, SIEM-urile generau alerte din jurnale folosind reguli de corelare. O regulă de corelare specifică o serie de evenimente și valori specifice jurnalelor sau intervale de valori care pot indica o amenințare la securitate (de exemplu, trei sau mai multe încercări de conectare eșuate). O altă modalitate de a extrage riscurile de securitate din jurnale este o analiză a vulnerabilităților în care scanerele automate pot scana rețelele pentru vulnerabilități software care pot fi vizate de atacatori, iar unele dintre aceste scanări se bazează pe jurnale.

Detectarea incidentelor de securitate cu ajutorul analizei comportamentale Tehnologia SIEM de ultimă generație utilizează analiza comportamentului utilizatorilor și evenimentelor (UEBA) pentru a stabili o linie de bază comportamentală pentru utilizatori și alte entități din rețea, cum ar fi servere, puncte finale sau aplicații. Motorul de analiză comportamentală poate monitoriza comportamentul și poate identifica dacă se abate de la linia de bază sau, cu alte cuvinte, dacă ceva „pare diferit”, chiar dacă nu ar putea fi definit printr-o regulă strictă de corelare.

Dacă abaterile sunt suficient de mari și par să indice un risc de securitate, sistemul UEBA lansează o alertă. Acest lucru poate ajuta la detectarea amenințărilor interne, a fraudelor și a amenințărilor persistente avansate (APT) și a altor tehnici de atac sofisticate care pot evita cu ușurință detectarea bazată pe reguli de corelare. Pentru un exemplu de SIEM de nouă generație cu UEBA încorporat, consultați Exabeam Advanced Analytics.