Что такое ведение журналов?

Ведение журнала - это процесс записи событий и действий, происходящих на устройстве или в приложении. Любое событие, например вход пользователя в систему, системные ошибки, сбои приложений, изменение разрешений и многое другое, регистрируется в системе или приложении в виде журналов. Ведение журналов позволяет систематически записывать и управлять данными журналов, чтобы их можно было использовать для устранения неполадок, а также в целях эксплуатации и безопасности.

На ранних этапах кибератак злоумышленники обычно сосредотачиваются на том, чтобы прочно закрепиться в сети. На этом начальном этапе часто используются уязвимости и применяются векторы атак, направленные на получение несанкционированного доступа. Попав в систему, злоумышленники могут попытаться продвинуться вглубь системы, повысить привилегии или закрепиться в ней.

Но как администраторы безопасности могут узнать, что в сети происходит что-то подозрительное? Ответ кроется в журналах. Администраторы безопасности отслеживают журналы из некоторых или всех источников журналов в сети. Вот некоторые из важнейших ресурсов, из которых собираются и анализируются данные журналов:

Межсетевые экраны

Журналы межсетевых экранов содержат важную информацию, которая играет ключевую роль в обеспечении безопасности сети. В них представлена информация о сетевом трафике, например, о запрещенных и разрешенных подключениях, изменениях конфигурации и ошибках конфигурации, а также сведения о добавлении и удалении пользователей и изменениях уровня их привилегий.

Анализируя журналы межсетевых экранов, администраторы могут обнаружить вредоносную активность в сети, оптимизировать правила межсетевого экрана и укрепить границы безопасности своей сети.

Прокси-серверы и другие веб-фильтры

Журналы прокси-серверов и других веб-фильтров состоят из данных журналов пользователей и приложений, которые используют вашу сеть. Помимо запросов пользователей к веб-сайту, эти журналы также фиксируют запросы приложений и услуг. Журналы прокси-сервера могут содержать такую информацию, как IP-адрес назначения, порт назначения, пользовательский агент, действие устройства и многое другое. Сбор этой информации дает представление о том, что происходит в сети.

Организации могут обнаружить серьезные проблемы в своей сети, отслеживая различные строки пользовательских агентов и тщательно анализируя любые отклонения.

События Windows

Журнал событий Windows - это полная запись всего, что происходит в операционной системе Windows. Часть собираемой в журналах информации включает журналы приложений Windows, журналы безопасности и системы, журналы DNS-сервера, журналы сервера каталогов и журналы службы репликации файлов.

Сбор журналов событий Windows гарантирует, что любые аномалии или странное поведение будут немедленно отмечены и доведены до сведения пользователя. Это позволяет улучшить безопасность сервера, безопасность рабочей станции и диагностику проблем с неисправными компонентами оборудования.

Например, среди хакеров популярна атака Pass-the-hash, поскольку она используется для получения доступа к учетной записи без пароля. Обнаружить эту атаку можно по идентификаторам событий NTLM Logon type 3, то есть 4624 (успешно) и 4625 (сбой).

Еще одной распространенной чертой хакеров является то, что они пытаются скрыть свое присутствие. Поиск событий с идентификаторами 104 (журнал событий очищен) и 1102 (журнал аудита очищен) может помочь обнаружить их присутствие в сети.

Приложения

Журнал приложения - это файл с информацией обо всех событиях, произошедших в приложении. К некоторым общим компонентам журналов приложений относятся контекстная информация, временные метки и уровни протоколирования.

Можно собирать журналы из приложений веб-серверов, таких как IIS и Apache, баз данных, включая MS SQL и Oracle, приложений на основе DHCP и других.

Журналы приложений помогают выявлять и устранять проблемы, связанные с производительностью и безопасностью приложений. Они также помогают обнаружить попытки несанкционированного доступа к файлам и манипулирования данными со стороны пользователей.

Инструмент сбора журналов поможет собрать различные типы журналов из разных источников и с легкостью объединять их. Использование комплексного инструмента сбора журналов, такого как EventLog Analyzer от ManageEngine, также может помочь в организации и сортировке журналов для получения ценной информации о состоянии безопасности организации. Ознакомьтесь с возможностями решения по сбору журналов здесь.

Методы сбора журналов

Теперь, когда мы рассмотрели различные источники, из которых можно собирать журналы, важно отметить, что журналы также можно собирать с использованием различных методов. Двумя наиболее распространенными механизмами сбора данных журналов являются сбор журналов без агентов и с использованием агентов. К другим распространенным методам сбора журналов относятся сбор журналов на основе API, сбор журналов на основе WMI и ловушек SNMP.

Сбор журналов без использования агента

При сборе журналов без агента журналы, созданные на каждом устройстве, собираются без участия агента. Устройство или приложение, где создается журнал, напрямую отправляет данные журнала на центральный сервер. Передача данных защищена с использованием таких протоколов, как TCP и HTTPS.

Сбор журналов на основе API

В этом методе API используется для запроса и передачи данных журнала на защищенный сервер. Вы также можете использовать API для сбора журналов и отправки их в сторонний инструмент аналитики журналов для анализа данных журналов.

Ловушки SNMP

Устройство с поддержкой SNMP, являющееся агентом, создает ловушку SNMP и отправляет ее сборщику. Сборщик данных в режиме реального времени информируется с помощью ловушки SNMP о каждом важном событии. В первую очередь собираются события для управления и мониторинга.

Сбор журналов с использованием агента

Этот механизм сбора журналов использует агент, который находится на устройстве. Агент собирает и безопасно отправляет данные журнала на центральный сервер. Преимущества использования сбора журналов на основе агентов заключаются в том, что с помощью агентов можно применять фильтры сбора журналов, чтобы ограничить объем полосы пропускания, потребляемый процессом. Сбор журналов с помощью агентов обычно используется в сетях в пределах защищенной зоны, где взаимодействие ограничено.

Ведение журналов событий WMI

Ведение журнала событий инструмента управления Windows (WMI) - это метод, используемый для сбора журналов из среды Windows. Отслеживание событий для Windows (ETW) осуществляется путем ведения журнала событий WMI. В нем собираются сведения о событиях, диагностических данных, ошибках и различных других действиях в сети.

Почему ведение журналов так важно?

Установление базовых показателей

Непрерывно анализируя журналы, организации могут определить базовый уровень нормального поведения системы. Любое отклонение от этого устоявшегося нормального поведения может быть признаком аномалии безопасности.

Мониторинг событий

Это помогает организациям получить общую картину происходящего в их сети и повысить эффективность своей работы.

Оперативное реагирование на инциденты

Ведение журнала помогает выявлять закономерности событий, которые могут указывать на потенциальное нарушение безопасности. При обнаружении могут быть созданы оповещения для немедленного принятия мер.

Обеспечение соответствия требованиям

Нормативные акты, такие как PCI DSS, HIPAA, GDPR и т. д., требуют от организаций вести учет всех сетевых журналов, чтобы продемонстрировать соблюдение стандартов.

Отслеживание активности пользователей

Журналы играют первостепенную роль в мониторинге действий пользователей. Данные журналов можно использовать для отслеживания поведения пользователей и заблаговременного обнаружения внутренних угроз.

Криминалистический анализ

В случае нарушения безопасности журналы служат источником для криминалистического расследования. Они позволяют службам безопасности отслеживать и выявлять основную причину нарушения, а также собирать все необходимые доказательства.

Чем может помочь EventLog Analyzer?

EventLog Analyzer - это решение ManageEngine для комплексного управления журналами, призванное помочь организациям эффективно собирать, анализировать данные журналов из различных источников и управлять такими данными. Оно позволяет получить полную картину, извлекая смысл из обширных и разнообразных данных журналов, генерируемых сетью, серверами и приложениями.

Сопоставление журналов в режиме реального времени не ограничивается только обнаружением. Решение немедленно отправляет оповещения, оповещая вас о критических событиях. Эти оповещения действуют как упреждающая защита, обеспечивая быстрое реагирование на нарушения безопасности или проблемы в работе.

Более того, возможности EventLog Analyzer выходят за рамки простого управления журналами. EventLog Analyzer можно модернизировать до полноценного решения SIEM, которое обеспечит комплексный обзор состояния безопасности сети.

Что дальше?