Pam Ddylwn i Defnyddio Cofnodion Digwyddiad Diogelwch?

Rhaid ichi gynllunio ymlaen llaw i ddal rhyfeddwr

Gobeithio y byddwch yn cadw'ch cyfrifiaduron yn cael eu torri a'u diweddaru a bod eich rhwydwaith yn ddiogel. Fodd bynnag, mae'n eithaf anochel y byddwch chi ar ryw adeg yn cael ei daro â gweithgaredd maleisus - firws , llygod , ceffylau Trojan , ymosod ar hacio neu fel arall. Pan fydd hynny'n digwydd, os ydych chi wedi gwneud y pethau cywir cyn yr ymosodiad, byddwch yn gwneud y gwaith o benderfynu pryd a sut y llwyddodd yr ymosodiad yn llawer haws.

Os ydych chi erioed wedi gweld y dangosydd teledu CSI , neu ddim ond am unrhyw sioe deledu neu heddlu arall, gwyddoch y gall yr ymchwilwyr nodi, olrhain a dal troseddwr trosedd hyd yn oed gyda'r dystiolaeth fforensig gyflymaf.

Ond, ni fyddai hi'n braf pe na bai yn rhaid iddynt chwistrellu trwy ffibrau i ddod o hyd i'r un gwallt sy'n perthyn i'r tramgwyddwr a gwneud profion DNA i adnabod ei berchennog? Beth os oedd cofnod wedi'i gadw ar bob person yr oeddent yn dod i gysylltiad â hwy a phryd? Beth os oedd cofnod wedi'i gadw o'r hyn a wnaed i'r person hwnnw?

Pe bai hynny'n wir, efallai na fyddai ymchwilwyr fel y rhai mewn CSC yn ddi-waith. Byddai'r heddlu yn canfod y corff, edrychwch ar y cofnod i weld pwy ddaeth i gysylltiad â'r ymadawedig diwethaf a'r hyn a wnaed a byddent eisoes â hunaniaeth heb orfod cloddio. Dyma'r hyn y mae logio yn ei ddarparu o ran cyflenwi tystiolaeth fforensig pan fo gweithgaredd maleisus ar eich cyfrifiadur neu'ch rhwydwaith.

Os nad yw gweinyddwr rhwydwaith yn troi ar logio neu os nad yw'n logio'r digwyddiadau cywir, gall cloddio tystiolaeth fforensig i nodi amser a dyddiad neu ddull mynediad anawdurdodedig neu weithgaredd maleisus arall fod yr un mor anodd ag edrych am yr nodwydd proverbial mewn haen gwair. Yn aml ni ddarganfyddir gwraidd ymosodiad byth. Caiff peiriannau hacio neu heintiedig eu glanhau a bydd pawb yn dychwelyd i fusnes fel arfer heb wybod a yw'r systemau yn cael eu gwarchod yn well nag a oeddent pan gawsant eu taro yn y lle cyntaf.

Mae rhai ceisiadau yn cofnodi pethau yn ddiofyn. Yn gyffredinol, mae gweinyddwyr gwe fel IIS ac Apache yn cofnodi pob traffig sy'n dod i mewn. Defnyddir hyn yn bennaf i weld faint o bobl a ymwelodd â'r wefan, pa gyfeiriad IP a ddefnyddiwyd ganddynt a gwybodaeth metrig arall o ran y wefan. Ond, yn achos mwydod fel CodeRed neu Nimda, gall y logiau gwe hefyd ddangos i chi pan fydd systemau heintiedig yn ceisio cael mynediad i'ch system oherwydd bod ganddynt orchmynion penodol y byddant yn eu ceisio a fydd yn dangos yn y cofnodau p'un a ydynt yn llwyddiannus ai peidio.

Mae gan rai systemau wahanol swyddogaethau archwilio a chofnodi. Fe allwch chi hefyd osod meddalwedd ychwanegol i fonitro a logio gwahanol gamau gweithredu ar y cyfrifiadur (gweler Offer yn y bocs cyswllt ar yr ochr dde i'r erthygl hon). Ar beiriant Windows XP Proffesiynol mae yna ddewisiadau i ddigwyddiadau logon cyfrif cyfrifon, rheoli cyfrifon, mynediad i'r gwasanaeth cyfeirlyfr, digwyddiadau logio, mynediad gwrthrych, newid polisi, defnyddio breintiau, olrhain prosesau a digwyddiadau system.

Ar gyfer pob un o'r rhain, gallwch ddewis logio llwyddiant, methiant neu ddim. Gan ddefnyddio Windows XP Pro fel yr enghraifft, os na wnaethoch chi alluogi unrhyw logio ar gyfer mynediad gwrthrych, ni fyddech yn cofnodi pryd y cafodd ffeil neu ffolder fynediad ddiwethaf. Pe bai modd i chi logio methiant yn unig, byddai gennych gofnod o bryd y byddai rhywun yn ceisio defnyddio'r ffeil neu'r ffolder ond methodd oherwydd nad oedd ganddo'r caniatād neu'r awdurdodiad priodol, ond ni fyddai gennych gofnod o ba ddefnyddiwr awdurdodedig oedd yn cael mynediad i'r ffeil neu'r ffolder .

Oherwydd y gall haciwr fod yn dda iawn gan ddefnyddio enw defnyddiwr a chyfrinair crac efallai y byddant yn gallu cael mynediad i ffeiliau yn llwyddiannus. Os ydych chi'n gweld y logiau a gweld bod Bob Smith wedi dileu datganiad ariannol y cwmni am 3am ddydd Sul, efallai y byddai'n ddiogel rhagdybio bod Bob Smith yn cysgu ac efallai bod ei enw defnyddiwr a chyfrinair wedi cael ei gyfaddawdu . Beth bynnag, rydych chi nawr yn gwybod beth ddigwyddodd i'r ffeil a phryd ac mae'n rhoi man cychwyn i chi ar gyfer ymchwilio sut y digwyddodd.

Gall methiant a logio llwyddiant ddarparu gwybodaeth ddefnyddiol a chliwiau, ond mae'n rhaid i chi gydbwyso'ch gweithgareddau monitro a chofnodi gyda pherfformiad y system. Gan ddefnyddio'r enghraifft llyfr cofnodion dynol o'r uchod- byddai'n helpu ymchwilwyr pe bai pobl yn cadw cofnod o bawb y daethon nhw i gysylltiad â nhw a beth ddigwyddodd yn ystod y rhyngweithio, ond yn sicr byddai'n arafu pobl i lawr.

Pe bai yn rhaid i chi stopio ac ysgrifennu pwy, beth a phryd ar gyfer pob cyfarfod y buoch chi drwy'r dydd, gallai effeithio'n sylweddol ar eich cynhyrchiant. Mae'r un peth yn wir am fonitro a chofnodi gweithgaredd cyfrifiadurol. Gallwch chi alluogi pob opsiwn methu a logio llwyddiant posibl a bydd gennych gofnod manwl iawn o bopeth sy'n digwydd yn eich cyfrifiadur. Fodd bynnag, byddwch yn cael effaith ddifrifol ar berfformiad oherwydd bydd y prosesydd yn brysur yn cofnodi 100 o wahanol geisiadau yn y logiau bob tro y bydd rhywun yn pwyso botwm neu yn clicio ar eu llygoden.

Rhaid ichi bwyso a mesur pa fath o logio fyddai o fudd gyda'r effaith ar berfformiad y system a chreu'r balans sy'n gweithio orau i chi. Dylech hefyd gofio bod llawer o offer haciwr a rhaglenni ceffylau Trojan fel Sub7 yn cynnwys cyfleustodau sy'n eu galluogi i newid ffeiliau log i guddio eu gweithredoedd a chuddio'r ymyrraeth fel na allwch ddibynnu ar 100% ar y ffeiliau log.

Gallwch osgoi rhai o'r materion perfformiad ac, o bosib, y materion cuddio offeryn haciwr trwy ystyried rhai pethau wrth sefydlu'ch logio. Mae angen i chi fesur pa mor fawr y bydd y ffeiliau log yn ei gael a sicrhau bod gennych ddigon o le ar ddisg yn y lle cyntaf. Mae angen i chi hefyd sefydlu polisi ar gyfer a yw hen logiau yn cael eu trosysgrifio neu eu dileu neu os ydych am archifo'r logiau bob dydd, yn wythnosol neu yn gyfnodol arall er mwyn i chi gael data hŷn i edrych yn ôl arno hefyd.

Os yw'n bosibl defnyddio gyrrwr caled penodol a / neu reolaeth galed, fe fyddwch chi'n cael llai o effaith ar berfformiad oherwydd gellir ysgrifennu'r ffeiliau log i'r ddisg heb orfod ymladd gyda'r ceisiadau rydych chi'n ceisio eu rhedeg i gael mynediad i'r gyriant. Os gallwch chi gyfeirio'r ffeiliau log i gyfrifiadur ar wahân - o bosibl yn benodol i storio ffeiliau log a gosodiadau diogelwch cwbl wahanol - efallai y byddwch yn gallu atal gallu troseddwr i newid neu ddileu'r ffeiliau log hefyd.

Nodyn terfynol yw na ddylech aros nes ei bod hi'n rhy hwyr ac mae'ch system eisoes wedi cael ei ddamwain neu ei gyfaddawdu cyn edrych ar y logiau. Y peth gorau yw adolygu'r logiau o bryd i'w gilydd er mwyn i chi allu gwybod beth sy'n arferol a sefydlu llinell sylfaen. Fel hyn, pan fyddwch yn dod ar draws cofnodion anghywir, gallwch eu cydnabod fel hyn a chymryd camau rhagweithiol i galedu eich system yn hytrach na gwneud yr ymchwiliad fforensig ar ôl iddo fod yn rhy hwyr.