MODULE 15 Capturing and Event corrlation Log Phòng chống và điều tra tội phạm máy tính L01 sinh viên thực hiện Nguyễn Bá Tiến AT140144 Ngô Đức Phú AT140433 Vũ Đức Thắng AT140342 GVHD Thầy Nguyễn Mạnh[.]
MODULE 15 : Capturing and Event corrlation Phòng chống điều tra tội phạm máy tính_ L01 Log sinh viên thực : Nguyễn Bá Tiến AT140144 Ngô Đức Phú AT140433 Vũ Đức Thắng AT140342 GVHD : Thầy Nguyễn Mạnh Thắng Mục Tiêu c Tiêu • Nhật ký bảo mật máy tính • Sự kiện đăng nhập windows • Nhật ký llS • Nhật ký DHCP • Ghi lại nhật ký ODBC • Quản lý nhật ký • Những thách thức quản lý nhật ký • • • • • • • • Ghi log tập chung Syslog Tại cần đồng thời gian ? NTP Máy chủ NIST Tương Quan Kiện Phương pháp tiếp cận Cơng cụ thu thập phân tích nhật ký Luồng mô-đunng mô-đun Bảo mật log Tương quan kiện Đồng hóa thời gian Log vấn đề pháp lý Công cụ thu thập Phân tích Log Quản lý log ghi Log tập chung syslogs Computer security logs • Computer security logs chứa thông tin kiện xảy tổ chức Phân Loại Nhật ký hệ điều hành(OS) • Nhậy ký hệ điều hành cho server , máy trạm thiết bị mạng Ví dụ : định tuyến , chuyển mạch Nhật Ký ứng dụng chạy hệ thống ( Nhật ký ứng dụng ) • Máy chủ email , máy chủ sở liệu Nhật Ký phần mềm ảo hóa • Log mạng bảo mật dựa máy chủ phần mềm Log hệ điều hành điều hành u hành Nhật ký kiện Chứa thông tin hoạt động , hành động thực thành phần hệ điều hành Nhật ký kiểm tra Chứa kiện bảo mật thông tin thành công lần xác thực không thành công , truy cập tệp , thay đổi sách bảo mật thay đổi tài khoản Log ứng dụngng dục Tiêu ng • Nhật ký ứng dụng bao gồm tất kiện ghi lại chương trình • Các kiện ghi vào nhật ký xác định nhà phát triển phầm mềm • ⮚ ⮚ ⮚ Thơng tin kiểu nhật ký : Thông tin tài khoản Thông tin sử dụng Các hoạt động vận hành quan trọng Nhật ký phần mềm bảo mậtt ký phần mềm bảo mậtn mều hành m bảo mậto mật ký phần mềm bảo mậtt Các loại mạng phần mềm bảo mật phổ biến bao gồm : • Phầm mềm chống mã độc • Hệ thống phát xâm nhập ngăn chặn • Phần mềm truy cập từ xa • Wed proxy • Phần mềm quản lý lỗ hỏng • Máy chủ xác thực • Bộ định tuyến • Tường lửa • Máy chủ phân vùng mạng File nhật ký phần mềm bảo mậtt ký định tuyến định tuyếnnh tuyếnn Bộ định tuyến lưu trữ tệp nhật ký nhớ cache định tuyến Cung cấp thông tin từ công đến từ mạng Thu thập hình ảnh luồng bit đệm ẩn định tuyến để điều tra Cung cấp thông tin từ lưu lượng mạng Nhật ký phần mềm bảo mậtt ký honeypot Quản trị viên honeypot người dung ủy quyền Các ghi tìm thấy honeypot coi đáng nghi ngờ Những ghi honeypot giúp chuyên gia tìm kẻ cơng Tiếnn trình hoạt động linuxt độ định tuyếnng linux Các tệp theo dõi xem lastcommom.com mand Tệp nhật ký theo dõi tìm thấy / var/adm,var / log / usr / adm Tiến trình linux n trình linux theo dõi lệnh mà nh mà người dung thực i dung thực c hiệnh mà n Nó cho phép theo dõi trình lệnh acten khởi động (/ usr / lib / acct / starup) 10