Avete à Plan Ahead Per Incendie Un Intrudate
Speru chì tene i vostri cumpagni di pezzi è aghjurnate è a vostra reta hè sicura. In ogni casu, hè abbastanza inevitabbile chì avete da qualchissia puntà cù l'attività maliciosa, un virus , un worm , un cavallu Troianu , un attaccu di pirate o altri. Quandu chì succede, si avete fattu l'affari dritte davanti l'attache anu da fà u travagliu di determinà quandu quandu, è cumu l'attaccu succorsu chè assai facili.
S'ellu avete vistu u CSI di TV, o solu à alcuna altra pulizzia o televiatu televisiva legale, sapete chì ancu cù u scrittu slimmest of evidence forensic chì l'investigatore pò identificà, seguite è attrape l'autore di un criminu.
Ma ùn hè micca bonu si ùn anu micca bisognu à fàfilanu i fibre per truvà u capeddu chì hè appartitu à u perpetratore è fà i pruduzzioni d 'DNA per l'identità di u so propiu? Chì s'ellu ci hè statu un recordu mantene in ogni persone di quale elli èranu in cuntattu cù quandu? Chì s'ellu ci hè un recordu mantene da ciò chì era fattu per quellu persona?
S'ellu era u casu, investigatori cum'è quelli in CSI puderanu esse fora di cummerciale. A pulizia averebbe truvà u corpu, verificate u récord per vede chì l'ultimi vinìanu in cuntattu cù u mortu è ciò chì era fattu, è avaristi divutu l'identità senza avè da cavallu. Questu situ hè chì pruponemu l'attuali forensi quandu hè una attività maliciosa nantu à u vostru urdinariu o a reta.
Se un amministratore di a rete ùn viaghja micca nantu à u travagliu o ùn hà micca firmatu l'avvene curretta, scumpigghje l'evidenza forensica per identificà u tempu è a data o metu d'un accessu autorizatu o altre attività maliciosa pò esse ghjustificate cumu circà l'agulla proverbial in un paysage. A spessu, a causa di un attache hè micca mai statu scupertu. I maggetti hackeati o infectate sò limpiati è tutti ritornu à l'affari cum'è sempre, senza sapè veramente se i sistemi sò prutiggiati più megliu di quelli chì èranu quand'elli èbbenu ghjunti in u primu locu.
Certi appruvisazioni cuntenenu e cose da u funu. I servitori Web cum'è IIS è Apache in generale ghjunta tutti i trafficu trà uveru. Questu hè principarmenti usatu per vede quantu persone visitate u situ web, chì indirizzu IP utilizan è altre metricu d'infurmazione nantu à u web. Ma, in u casu di vermi, cum'è CodeRed o Nimda, i logs web pudete ancu vede quandu chì i sistemi infatti sò pruvate d'accede à u vostru sistema, perchè anu certu cumandaru attentativi chì si prisentanu in i zicchini sò o micca successu o micca.
Arcuni sistemi anu diversificatu è funzioni di logging in. Puderete ancu installà software adattu per monitorà è logarì diverse attuali in l'urdinatore (vede E Tools in u ligame per a direzzione di questu articulu). À una prugramma di Windows XP Professional, ci sò parechji alternativi per fiscali di l'accontu di cuntrollu di u login, a gestione di u cuntrollu, l'accessu di serviziu di u repertoriu, l'avvene di logon, l'accessu d'ogetti, u cambiamentu di pulitica, l'accessu privileviu, u seguimentu di prucessu è l
Per ognuna di sti pudete selezziunà à logu successu, fallimentu o nunda. Utilizà Windows XP Pro com l'esempiu, se ùn avete micca attivatu qualsiasi logging per accessu d'ughjettu ùn avete micca alcunu registratu di quandu un file o caratteru hè accettata in l'ultimu accessu. Se permettenu solu fallimentu di fallimentu avete un rècordu di quandu qualchissia pruvatu à accede à u schedariu o u cartulare, ma hà fallutu per ùn avè micca u permessu o l'autorizazione, ma ùn avete micca un registru di quandu un usu autorizatu hà accede à u schedariu o u cartulare .
Perchè un furperu puderà esse bè bè cù un nome d'usu crachatu è a password ch'elli pò esse accessu à u cuntenutu di schedari. Se vi vede i logs è vede chì Bob Smith eliminò l'assicurazione finanziaria di a maghju à 3am di u domicile pò esse sicura per suppostu chì Bob Smith hà duratu, è chì forse u so nome d'utilizatore è a password sò cumprumati . In ogni eventuali, sapete ciò chì hà successu à u schedariu è quandu u duverà un puntu di iniziu per investigà cumu successu.
Ogni fallimentu è logging successu puderanu furnisce infurmazioni utili è chjassi, ma duvete a equilibriu a vostra attività di surviglianza è timpurazione cù u rendiment di u sistema. Usendu l'esempiu di u libru recordu umanu da l'altru, avissi aiutu à l'investigatore si i persone mantinìanu un ghjurnalettu di tutti quelli chì sò stati in cuntattu cù u ciò chì succede durante l'interaczione, ma sensu pò fate chì lentamente persone.
Sì avete aduprà è avete scrittu quale, quale è quandu, per ogni scontru chì avete tuttu u ghjornu, puderia impactu severu a vostra produtitività. A listessa cosa hè veru di a vigilazione è di a ghjurnate attività di l'informatica. Pudete attivà ogni eventualità fiasca è l'accessu rializatu di logging è avete una ricerca richiuta di tuttu ciò chì passa in u vostru urdinatore. In ogni casu, avete un impattu impurtante impattu, perchè u prucessu sarà occupatu chì hà registratu 100 entrà diverse annantu à l'annunzià ogni volta chì qualchissia presioni un buttulu o cliccate u so passaghju.
Avete bisognu à chì tipu di logging seria benifheru cù l'impattu nantu à u riassuntu di u sistemu è ghjunghjite cun u equilibriu chì u megliu per voi. Anu avete ancu sempre in mente chì assai utile di pirate e programes di cavalli Trojan such as Sub7 include utilitats chì permettenu di alterà l'archivi di log à oculte e so azzioni è oculte l'intrusioni per quandu ùn pudere micca fà di u 100% di u schedariu di log.
Pudete evà parechji di e prublemi di rivoluzioni è possibbilmente l'uttine di i sughjetti di ghjustizia hà dubbiusu piglià certi elementi in cunsiderà quandu crea u vostru logging. Avete bisognu di quantu seranu i schedari di log è assicuratevi di prupone un spaziu di discu in u primu locu. Avete bisognu di creà una pirsica per vede esse scuperta o sguassata o se vulete arburistà i logs in un ghjornu di ogni ghjornu, in ogni ghjornu simile o altre periò per chì anu più datu antichi per vultà in daretu.
Se hè pussibule utilizà un impegnu duratu è / o un cuntrollu di discu duru avè menu impattu di l'impurtanza perchè i schedari di logu pò esse scritte à u discu senza avè da cummatti cù l'appricazzioni chì vo vulete curreghju per accessu à l'impresa. Se pudete diretisce i schedari di log in un equipatu separatu - possibbilmente dedicatu à amparà i schedari di log è cù paràmetri di sicurezza completamente distinti, puderete pudè sappedà a capacità d'intrudu per alterà o sguassà i schedari di log.
Una nota finale hè chì ùn deve esse micca wait until it's too late and your system is already chilling or compromised before viewing the logs. Hè megliu per riviseghjà i foreschi periscenu per ciò chì pudete sapè ciò chì hè normale è stabilisce un basine. Questu modu, quandu vi vene in l'intrattenimentu erroneu pudete ricanuscianu cum'è cusì è pigliate passe proattivu per rinfurzà u vostru sistema invece di fà a storia forensica dopu à a so tardi.