Главная » Хабрахабр » [Перевод] Чек-лист по анализу логов событий безопасности

[Перевод] Чек-лист по анализу логов событий безопасности

В первую очередь все задумываются о мониторинге событий безопасности, о чем и будет идти речь в данной статье. Сегодня тема мониторинга IT – инфраструктуры и анализа логов набирает все большую и большую популярность. И поэтому мы решили сделать перевод статьи «Сritical Log Review Checklist for Security Incidents», написанную Anton Chuvakin и Lenny Zeltser, которая будет полезна как для тех, кто только начинает работать с мониторингом событий безопасности, так и для тех, кто имеет с этим дело довольно давно, чтобы еще раз проверить себя, не упускаете ли вы некоторые возможности.
Несмотря на то, что на эту тему сказано и написано уже довольно много, вопросов возникает еще больше.

В этом чек-листе представлены действия, которые необходимы, если вы хотите мониторить логи систем безопасности и оперативно реагировать на инциденты безопасности, а также перечень возможных источников и событий, которые могут представлять интерес для анализа.

Общая схема действия

  1. Определите, какие источники журналов и автоматизированные инструменты можно использовать для анализа
  2. Скопируйте записи журнала в одно место, где вы сможете все их просмотреть и обработать
  3. Создайте правила определения того, что события являются необходимыми вам, чтобы в автоматическом режиме уменьшать «зашумленность» логов
  4. Определите, можно ли полагаться на метки времени журналов; рассмотрите различия часовых поясов
  5. Обратите внимание на последние изменения, сбои, ошибки, изменения состояния, доступ и другие события, необычные для вашей IT-среды
  6. Изучите историю событий, чтобы восстановить действия до и после инцидента
  7. Сопоставьте действия в разных журналах, чтобы получить полную картину
  8. Сформируйте гипотезу о том, что произошло; изучите журналы, чтобы подтвердить или опровергнуть её

Потенциальные источники логов безопасности

  • Журналы операционной системы серверов и рабочих станций
  • Журналы приложений (например, веб-сервер, сервер баз данных)
  • Журналы инструментов безопасности (например, антивирус, инструменты обнаружения изменений, системы обнаружения/предотвращения вторжений)
  • Исходящие журналы прокси-сервера и журналы приложений конечных пользователей
  • Не забудьте также рассмотреть другие источники событий безопасности, не входящие в журналы.

Стандартное расположение логов

  • Операционная система Linux и основные приложения: /var/log
  • Операционная система Windows и основные приложения: Windows Event Log (Security, System, Application)
  • Сетевые устройства: обычно регистрируются через syslog; некоторые собственное расположение и форматы

Что искать в логах Linux

Событие

Пример записи в логах

Успешный вход

«Accepted password», «Accepted publickey», «session opened»

Неудачные попытки входа

«authentication failure», «failed password»

Завершение сессии

«session closed»

Изменение аккаунта

«password changed», «new user», «delete user»

Действия Sudo

«sudo:… COMMAND=...», «FAILED su»

Сбои в работе

«failed» или «failure»

Что искать в логах Windows

Идентификаторы событий перечислены ниже для Windows 2008 R2 и 7, Windows 2012 R2 и 8.1, Windows 2016 и 10. (В оригинальной статье используются в основном идентификаторы для Windows 2003 и раньше, которые можно получить, отняв 4096 от значений указанных ниже EventID).

Большинство событий, приведенных ниже, находятся в журнале безопасности (Windows Event Log: Security), но некоторые регистрируются только на контроллере домена.

Тип события

EventID

События входа и выхода

Successful logon 4624; failed logon 4625; logoff 4634, 4647 и т.д.

Изменение аккаунта

Created 4720; enabled 4726;
changed 4738; disabled 4725; deleted 630

Изменение пароля

4724, 4723

Запуск и прекращение работы сервисов

7035,7036, и т.д.

Доступ к объектам

4656, 4663

Что искать в логах сетевых устройств

Изучите входящие и исходящие действия ваших сетевых устройств.

Примеры ниже – это выдержки из логов Cisco ASA, но другие устройства имеют схожую функциональность.

Трафик, допущенный файерволом

«Built… connection» «access-list… permitted»

Трафик, заблокированный файерволом

«access-list… denied», «deny Inbound»; «Deny ...by»

Объем трафика (в байтах)

«Teardown TCP connection… duration… bytes...»

Использование каналов и протоколов

«limit… exceeded», «CPU utilization»

Обнаружение атаки

«attack from»

Изменение аккаунта

«user added», «user deleted», «User priv level changed»

Доступ администратора

«AAA user...», «User… locked out», «login failed»

Что искать в логах веб-сервера

  • Чрезмерные попытки доступа к несуществующим файлам
  • Код (SQL, HTML), как часть URL-адреса
  • Доступ к расширениям, которые вы не устанавливали
  • Сообщения об остановке/запуске/сбое веб-службы
  • Доступ к «рискованным» страницам, которые принимают пользовательский ввод данных
  • Код ошибки 200 (успешный запрос) на файлах, которые не принадлежат вам
  • Ошибка аутентификации: Код ошибки 401,40
  • Неверный запрос: Код ошибки 400
  • Внутренняя ошибка сервера: Код ошибки 500

Полезные ссылки

Примеры событий Windows по каждому EventID:
EventID.Net
Справочник событий журнала безопасности Windows:
Windows Security Log Encyclopedia
Список инструментов анализа журналов:
Best Log Management Tools
Другие «шпаргалки», связанные с реагированием на инциденты безопасности в блоге одного из авторов оригинальной статьи:
IT and Information Security Cheat Sheets

Подписывайтесь в нашу группу VK и канал Telegram, если хотите быть в курсе новых статей. Если вам интересна эта тема, то пишите комментарии, мы будем рады вам ответить.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Самодельный тестовый стенд для материнских плат

Думаю, что рано или поздно всем, кто регулярно ковыряется с компьютерным железом приходит мысль как-то оптимизировать рабочее место — надоедает каждый раз раскладываться на столе, потом прибираться. Плюс иногда возня с материнкой может идти несколько дней, а за это время ...

Как мы искали признаки врачебных ошибок

К вечеру того дня он уже шутил и порывался ходить по больничной палате. В 2006 году в голове моего тестя разорвалась аневризма и его свалил инсульт. В другом госпитале его поставили на ноги, но из-за врачебной ошибки при первоначальном лечении ...