MODULE 15 : Capturing and Event corrlation Log Phòng chống điều tra tội phạm máy tính_ L01 GVHD : Thầy Nguyễn Mạnh Thắng Mục Tiêu • Nhật ký bảo mật máy tính • Sự kiện đăng nhập windows • Nhật ký llS • Nhật ký DHCP • Ghi lại nhật ký ODBC • Quản lý nhật ký • Những thách thức quản lý nhật ký • • • • • • • • Ghi log tập chung Syslog Tại cần đồng thời gian ? NTP Máy chủ NIST Tương Quan Kiện Phương pháp tiếp cận Công cụ thu thập phân tích nhật ký Luồng mơ-đun Bảo mật log Tương quan kiện Đồng hóa thời gian Log vấn đề pháp lý Công cụ thu thập Phân tích Log Quản lý log ghi Log tập chung syslogs Computer security logs • Computer security logs chứa thông tin kiện xảy tổ chức Phân Loại Nhật ký hệ điều hành(OS) • Nhậy ký hệ điều hành cho server , máy trạm thiết bị mạng Ví dụ : định tuyến , chuyển mạch Nhật Ký ứng dụng chạy hệ thống ( Nhật ký ứng dụng ) • Máy chủ email , máy chủ sở liệu Nhật Ký phần mềm ảo hóa • Log mạng bảo mật dựa máy chủ phần mềm Log hệ điều hành Nhật ký kiện Chứa thông tin hoạt động , hành động thực thành phần hệ điều hành Nhật ký kiểm tra Chứa kiện bảo mật thông tin thành công lần xác thực không thành công , truy cập tệp , thay đổi sách bảo mật thay đổi tài khoản Log ứng dụng • Nhật ký ứng dụng bao gồm tất kiện ghi lại chương trình • Các kiện ghi vào nhật ký xác định nhà phát triển phầm mềm •    Thơng tin kiểu nhật ký : Thông tin tài khoản Thông tin sử dụng Các hoạt động vận hành quan trọng Nhật ký phần mềm bảo mật Các loại mạng phần mềm bảo mật phổ biến bao gồm : • Phầm mềm chống mã độc • Hệ thống phát xâm nhập ngăn chặn • Phần mềm truy cập từ xa • Wed proxy • Phần mềm quản lý lỗ hỏng • Máy chủ xác thực • Bộ định tuyến • Tường lửa • Máy chủ phân vùng mạng File nhật ký định tuyến Bộ định tuyến lưu trữ tệp nhật ký nhớ cache định tuyến Cung cấp thông tin từ cơng đến từ mạng Thu thập hình ảnh luồng bit đệm ẩn định tuyến để điều tra Cung cấp thông tin từ lưu lượng mạng Nhật ký honeypot Quản trị viên honeypot người dung ủy quyền Các ghi tìm thấy honeypot coi đáng nghi ngờ Những ghi honeypot giúp chuyên gia tìm kẻ cơng Tiến trình hoạt động linux Các tệp theo dõi xem lastcommom.com mand Tệp nhật ký theo dõi tìm thấy / var/adm,var / log / usr / adm Tiến trình linux theo dõi lệnh mà người dung thực Nó cho phép theo dõi trình lệnh acten khởi động (/ usr / lib / acct / starup) 10 ELM Event Log Monitor ELM Event Log Monitor cung cấp tính tập trung nhật ký kiện windows máy chủ và máy trạm toàn mạng, loại bỏ rắc rối sử dụng trình xem kiện gốc và từ máy này sang máy khác để kiểm tra nhật ký Nó thu thập tất các kiện tệp tùy chỉnh người dùng để chỉ thu thập kiện xem EventSentry EventSentry giám sát hệ thống nhật ký kiện giúp công ty đáp ứng yêu cầu hợp Sarbanes-Oxley(SOX), HIPPA, PCI nhiều nhật ký kiện Tính : • Giám sát nhật ký cố • Theo dõi tuân thủ • Giám sát tệp nhật ký • Giám sát mạng • Báo cáo web LogMeister o o ELM Event Log Monitor cung cấp tính tập trung nhật ký kiện windows máy chủ và máy trạm toàn mạng, loại bỏ rắc rối sử dụng trình xem kiện gốc và từ máy này sang máy khác để kiểm tra nhật ký Nó thu thập tất các kiện tệp tùy chỉnh người dùng để chỉ thu thập kiện xem LogViewer Pro The LogViewer Pro trình xem các tệp nhật ký văn Tính • Hỗ trợ kích thước tệp nào ( 4GB trở lên) • Tự động tải lại tệp, chế độ “ Follow tail” • Cho phép bạn đánh dấu bật số dòng ( cí dụ “ errors”, “warning”) • Hỗ trợ nhiều bảng mã : ANSI, OEM, UTF8,UNICODE LE/BE WinAgents EventLog Translation Service WinAgents EventLog Translation Service máy chủ giám sát nhật ký kiện Windows và chuyển tiếp các kiện xuất để xử lý thêm EventTracker Enterprise EventTracker Enterprise giải pháp quản lý kiện thơng tin bảo mật (SIEM) tồn diện Nó cung cấp khả tồn diện để truy cập, phân tích cốt lõi liệu CNTT từ hang nghìn nguồn nhật ký toàn doanh nghiệp, bao gồm Windows, Unix, IBM, Solaris, Cisco, CheckPoint Corner Log Manager Corner Log Manager là công cụ báo cáo theo dõi, hợp nhất, kiểm toán và báo cáo nhật ký toàn mạng Tính • Hợp nhật ký kiện, nhật ký hệ thống các tệp nhật ký ứng dụng khơng chuẩn • Theo dõi nhật ký thời gian thực theo lịch trình người dùng xác định • Sao lưu, nén, mã hóa dùng mật bảo vệ nhật ký kiện • Xem tệp nhật ký kiện Windows( EVT EVTX) Ascella Log Monitor Plus Ascella Log Monitor Plus là phần mềm quản lý và theo dõi nhật ký kiện giám sát máy chủ Windows và máy trạm thời gian thực cho các mục nhập các nhật ký kiện khác nhua Tính • Loại trừ lọc cho phép bạn lọc các thư không quan tâm • Ghi kiện vào tất các loại nhật ký kiện Windows • Gửi thơng báo kiện qua email • Gửi thơng báo kiện qua LAN Windows Mesaging service FLAG – Forensic and Log Analysiz GUI Flag thiết kế để đơn giản hóa quá trình phân tích tệp nhật ký và điều tra pháp y Nó sử dụng sở liệu làm phụ trợ để hỗ trợ quản lý khối lượng lớn liệu; điều này cho phép Flag trì phản hồi và đẩy nhanh các hoạt động thao tác liệu Nó dựa web, cho phép nó triển khai máy chủ trung tâm và chia sẻ với số người dung cùng lúc Dữ liệu tải vào các case, giữ cho thông tin tách biệt Nó có hệ thống báo cáo kết phân tích cách sử dụng rộng rãi các dấu trang Flag Screenshot Simple Event Correlator (SEC) SEC là công cụ tương quan kiện nguồn mở và độc lập với tảng Nó chấp nhận đầu vào từ các tệp thông thường, các đường ống đặt tên và đầu vào tiêu chuẩn, đó có thể sử dụng tương quan kiện cho ứng dụng nào có khả ghi các kiện đầu nó vào "luồng tệp" Cấu hình SEC lưu trữ các tệp văn dạng các quy tắc, quy tắc chỉ định điều kiện đối sánh kiện, danh sách hành động và tùy chọn 'biểu thức boolean' có giá trị thực định liệu quy tắc có thể áp dụng thời điểm định hay không Biểu thức chính quy, Perl subroutines, v.v sử dụng để xác định các điều kiện đối sánh kiện SEC có thể tạo các kiện đầu cách thực thi các tập lệnh chương trình shell người dùng chỉ định (ví dụ: snmptrap mail), cách ghi thông báo vào đường ống tệp và nhiều cách khác OSSEC OSSEC hệ thống phát xâm nhập dựa máy chủ có khả mở rộng, đa tảng và mã nguồn mở Nó thực phân tích nhật ký, kiểm tra tính toàn vẹn tệp, Windows registry monitoring, phát rootkit, cảnh báo thời gian thực và phản hồi hoạt động Nó chạy hầu hết hệ điều hành, bao gồm Linux, MacOS, Solaris, HP-UX, AIX Windows Lợi ích chính OSSEC cung cấp máy chủ quản lý tập trung đơn giản hóa để quản lý các chính sách nhiều hệ điều hành Nó giúp đáp ứng các yêu cầu tuân thủ cụ thể : PCI, HIPAA, v.v Nó cho phép khách hàng phát và cảnh báo sửa đổi hệ thống tệp trái phép hành vi độc hại nhúng tệp nhật ký thư các sản phẩm COTS các ứng dụng tùy chỉnh Nó cho phép người dùng định cấu hình các cố mà họ muốn cảnh báo, điều này cho phép họ tập trung vào việc nâng cao mức độ ưu tiên các cố nghiêm trọng so với tiếng ồn thường xuyên hệ thống nào Nó cho phép triển khai hệ thống phát xâm nhập dựa máy chủ toàn diện với các chính sách cụ thể ứng dụng / máy chủ chi tiết nhiều tảng OSSEC cung cấp tính linh hoạt dựa tác nhân giám sát không cần tác nhân hệ thống và các thành phần mạng router và tường lửa Module Summary ❑ Computer security logs chứa thông tin các kiện xảy hệ thống và mạng ❑ OS logs có lợi cho việc xác định điều tra hoạt động đáng ngờ liên quan đến máy chủ cụ thể ❑ Sys log cho phép các tin nhắn xếp theo nguồn chúng và chuyển đến các điểm đến khác ❑ Ghi nhật ký nhị phân tập trung làm giảm gánh nặng quản trị cho Internet Service Providers (ISPS), đồng thời giúp thu thập và lưu trữ liệu đã ghi ❑ Không thể sử dụng Stratum-0 servers mạng; thay vào đó, chúng kết nối trực tiếp với các máy tính sau đó hoạt động Stratum-1 servers ❑ Tương quan kiện thường xảy bên tảng quản lý nhật ký ... tạo tường lửa hệ thống phát xâm nhập Nếu máy tính chạy vào thời điểm khác nhau, khơng thể khớp xác hành động ghi máy tính khác Nếu bạn bị xâm nhập, máy tính bạn có thời gian, khó xác định liệu... gian máy tính bạn khơng xác Một giao thức chuẩn Internet (được xây dựng TCP / IP) đảm bảo đồng hóa xác đến phần nghìn giây thời gian đồng hồ máy tính mạng máy tính NTP đồng hóa đồng hồ máy trạm... hàng Chạy dạng chương trình khách liên tục máy tính, NTP gửi yêu cầu thời gian định kỳ đến máy chủ, lấy dấu thời gian máy chủ để điều chỉnh đồng hồ máy khách