آشنایی با مباحث LOG در Security Plus


5/5 - (1 امتیاز)

Logging:

مانیتور کردن LOG ها اغلب بخشی مهمی برای تبدیل شدن به عنوان یک شخص امنیتی می باشد مهم تریم فایل log در ویندوز، Security Log می باشد که در شکل زیر نشان داده شده است، برای مشاهده لاگ های سیستم عامل های ویندوزی از Event Viewer استفاده میشود.

Event Viewer

Log امنیتی می تواند نشان دهد که آیا یک کاربر با موفقیت کارهای مختلفی از جمله ورود به کامپیوتر محلی یا دامنه، دسترسی، تغییر یا حذف فایل ها را انجام داده است یا نه. البته بسیاری از این موارد نیاز به تنظیمات اولیه پیش از آن که بتواند Log شود دارد. نسخه های جدیدتر ویندوز به طور خودکار رویدادهایی همچون Logon یا تغییر سیاست را ogL می کنند. تمامی این رویدادهای Log امنیتی می تواند به عنوان Audit Trials اشاره کند. Audit Trials رکوردها و Log هایی است که عمل ردیابی کاربران را نشان می دهد، که آیا کاربر در هر تلاش موفق بوده است یا خیر. یک مدیر امنیتی باید این Log File ها را برای نگه داری در بالای هر نقصی یا نقص های مورد تلاش واقع شده مانیتور کند. به طور مرتب مشاهده Log های برنامه ها، سیستم عامل ها و تجهیزات شبکه می تواند موارد هم چون خطاها و حملات را به سرعت کشف کند و آگاهی از وضعیت شبکه را افزایش میدهد.

انواع LOG Files های ویندوزی:

چندین نوع Log File ویندوزی وجود دارد که باید به طور مرتب مانیتور کرد، که عبارتند از:

  • System: رویدادهایی مانند خاموش کردن سیستم با اشکال در درایور را Log می کند.
  • Application: رویدادهایی برای برنامه های سیستم عامل و برنامه های Third Party را Log می کند.
  • Security: رویدادهایی که مربوط به هشدار های امنیتی میباشد.

Log های System و Application بر روی نسخه های کلاینت و ویندوز سرور وجود دارند. چند نوع از Log File هایی که تنها در سرور وجود دارند عبارتند از:

  • File Replication Service
  • DNS Server
  • Directory Service

File Replication Service Log بر روی تمامی سرور های ویندوزی وجود دارد.

Directory Service Log در صورتی که به یک Domain Controller متصل باشند
ظاهر می شود. DNS Server Log تنها در صورتی که سرویس DNS بر روی سرور نصب شده باشد ظاهر
خواهد شد.
سایر سیستم عامل ها، برنامه ها و تجهیزات مجموعه ای از Log های مخصوص خود را دارند، به عنوان مثال برنامه هایی مانند Microsoft Exchange و SQL و Firewalls.

Firewall Log می تواند تمامی انواع از مواردی مثل اسکنر های پورت مخرب و سایر اسکن آسیب پذیری ها را نشان دهد. به عنوان مثال، هنگام جست و جو در یک Firewall Log و مشاهده و گرامر زیر، خواهید فهمید که یک حمله اسکن پورت رخ داده است:

نگهداری و امنیت Log File:

برنامه ریزی، نگهداری و امنیت Log Files باید مورد توجه قرار گیرد، مواردی که باید در نظر گرفت شامل تنظیمات و ذخیره های Log File ها، پشتیبان گیری از فایل ها و ایمن سازی و رمز گذاری فایل ها می باشد.

پیش از تنظیمات هر نوع Log سیستمی باید به میزان فضای دیسک توجه شود که Log نیاز دارد. هم چنین باید تمامی اطلاعات مختلف مورد نیاز برای رویدادهای Log شده در نظر گرفته شود. آیا Log ها در مکان های مختلف ذخیره می شوند؟ آیا آن ها رمزگذاری شده اند؟ آیا Hash شده هستند؟

Logging طولانی چیزی است که مدیر برای دریافت اطلاعات بیشتر در صورت امکان انجام میدهد. Log File می تواند در پارتیشن های مختلف ذخیره شود یا در یک سیستم متفاوت نیز ذخیره گردد. هر چند مورد دومی به یک سیستم ثانویه سریع و شبکه سریع نیاز دارد. اندازه و تنظیمات نوشته فایل باید در نظر گرفته شود. توجه داشته باشید که Log برای نوشتن روی هم رویدادها در صورتی که اندازه Log به حداکثر مقدار خود برسد تنظیم شده است لذا برای جلوگیری از این عمل گزینه Do Not Overwrite Events را انتخاب کنید.

بر مبنای تنظیمات و فایل های امنیتی Log File ها باید پشتیبان گیری شوند. بهترین تمرین نگه داری یک کپی از فایل ها در سرور Log راه دور میباشد. این فایل ها باید به صورت جداگانه در یک مکان فیزیکی قرار گیرند یا رسانه WORM باید استفاده شود. منظور WORM گزینه هایی مانند CD-R و DVD-R می باشد که روش مناسبی برای پشتیبان گیری محسوب می شود. USB Flash Drive نباید هرجایی که Log File های کامپیوتر ذخیره شده اند قرار گیرد.

روش های ایمن سازی Log Files:

ایمن سازی Log File ها در چندین روش می تواند انجام شود:

  1. به کارگیری متدهای پشتیبان گیری مذکور.
  2. تنظیم مجوزها برای Log File واقعی.

SecEvent.Evt در C:\Windows\system32\config قرار دارد. این فایلی است که به تنظیمات مجوزهای NTFS دسترسی دارد.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.