لماذا يجب علي استخدام سجلات أحداث الأمان؟

عليك أن تخطط مسبقا للقبض على الدخيل

نأمل أن تحافظ على أجهزة الكمبيوتر الخاصة بك مصححة ومحدثة وأن شبكتك آمنة. ومع ذلك ، فمن الحتمي إلى حد ما أن تصاب بنوبة ضارة في مرحلة ما - فيروس أو دودة أو حصان طروادة أو هجوم عشوائي أو غير ذلك. عندما يحدث ذلك ، إذا كنت قد فعلت الأشياء الصحيحة قبل الهجوم ، فسوف تقوم بعمل تحديد متى وكيف نجح الهجوم أكثر سهولة.

إذا كنت قد شاهدت العرض التلفزيوني CSI ، أو أي برنامج تلفزيوني أو برنامج تلفزيوني آخر ، فأنت تعرف أنه حتى مع أنحف دليل الأدلة الجنائية يمكن للمحققين التعرف على مرتكب الجريمة وتتبعه والقبض عليه.

ولكن ، أليس من اللطيف إذا لم يكن لديهم لفحص الألياف للعثور على الشعر الذي ينتمي بالفعل إلى الجاني وإجراء اختبار الحمض النووي لتحديد صاحبها؟ ماذا لو كان هناك سجل تم الاحتفاظ به لكل شخص ممن اتصلت به ومتى؟ ماذا لو كان هناك سجل يحتفظ بما تم فعله لذلك الشخص؟

إذا كان الأمر كذلك ، فقد يكون المحققون مثل الذين في CSI عاطلين عن العمل. الشرطة ستعثر على الجثة ، وتحقق من السجل لمعرفة من كان آخر من اتصل بالمتوفى وما تم فعله وكان لديهم بالفعل هوية دون الحاجة إلى الحفر. هذا هو ما يوفره التسجيل من حيث توفير الأدلة الجنائية عندما يكون هناك نشاط ضار على جهاز الكمبيوتر أو الشبكة.

إذا لم يقم مسؤول الشبكة بتشغيل التسجيل أو لم يسجل الأحداث الصحيحة ، فإن عملية البحث عن الأدلة الجنائية لتحديد الوقت والتاريخ أو طريقة الوصول غير المصرح به أو أي نشاط ضار آخر يمكن أن يكون صعباً مثل البحث عن الإبرة الموضعية في كومة قش. في كثير من الأحيان لا يتم اكتشاف السبب الجذري لهجوم. يتم تنظيف الأجهزة التي تم اختراقها أو المصابة ، ويعود الجميع إلى العمل كالمعتاد دون معرفة حقيقة ما إذا كانت الأنظمة محمية بشكل أفضل مما كانت عليه عندما تم ضربهم في المقام الأول.

تقوم بعض التطبيقات بتسجيل الأشياء بشكل افتراضي. تقوم خوادم الويب مثل IIS و Apache بتسجيل جميع حركة المرور الواردة بشكل عام. يستخدم هذا بشكل أساسي لمعرفة عدد الأشخاص الذين زاروا موقع الويب ، وما عنوان IP الذي استخدموه والمعلومات الأخرى المتعلقة بالمقاييس فيما يتعلق بموقع الويب. ولكن ، في حالة الديدان مثل CodeRed أو Nimda ، يمكن أن تظهر لك سجلات الويب أيضًا عندما تحاول الأنظمة المصابة الوصول إلى نظامك نظرًا لوجود بعض الأوامر التي يحاولون إظهارها في السجلات سواء كانت ناجحة أم لا.

تحتوي بعض الأنظمة على وظائف مختلفة للتدقيق والتسجيل. يمكنك أيضًا تثبيت برامج إضافية لمراقبة وتسجيل الإجراءات المختلفة على الكمبيوتر (انظر الأدوات الموجودة في الوصلة على يسار هذه المقالة). على جهاز Windows XP Professional ، توجد خيارات تدوين أحداث تسجيل الدخول إلى الحساب ، وإدارة الحسابات ، والوصول إلى خدمة الدليل ، وأحداث تسجيل الدخول ، والوصول إلى الكائنات ، وتغيير السياسة ، واستخدام الامتياز ، وتتبع العمليات ، وأحداث النظام.

لكل من هذه يمكنك اختيار تسجيل النجاح أو الفشل أو لا شيء. باستخدام Windows XP Pro كمثال ، إذا لم تقم بتمكين أي تسجيل للوصول إلى الكائنات ، فلن يكون لديك سجل عن آخر مرة تم فيها الوصول إلى ملف أو مجلد. إذا قمت بتمكين تسجيل الفشل فقط ، فسيكون لديك سجلاً عندما حاول شخص ما الوصول إلى الملف أو المجلد ولكنه فشل بسبب عدم وجود الأذونات أو التخويل المناسب ، ولكنك لن تمتلك سجلاً عندما يقوم مستخدم مخول بالوصول إلى الملف أو المجلد .

نظرًا لأن المتسلل قد يستخدم اسم مستخدم وكلمة مرور متصدعين ، فقد يتمكنان من الوصول إلى الملفات بنجاح. إذا شاهدت السجلات ولاحظت أن بوب سميث حذف البيان المالي للشركة في الساعة الثالثة من صباح يوم الأحد ، فقد يكون من الأسلم افتراض أن بوب سميث كان نائمًا وربما تم اختراق اسم المستخدم وكلمة المرور. على أي حال ، أنت الآن تعرف ما حدث للملف ومتى ، وتمنحك نقطة انطلاق للتحقيق في كيفية حدوثه.

يمكن أن يوفر كل من تسجيل الأخطاء والفشل معلومات ومفاتيح مفيدة ، ولكن يجب عليك موازنة أنشطة المراقبة والتسجيل مع أداء النظام. باستخدام مثال كتاب السجل البشري من فوق ، سيساعد المحققون إذا احتفظ الناس بسجل لكل من كانوا على اتصال به وما حدث أثناء التفاعل ، ولكنه سيؤدي بالتأكيد إلى إبطاء الناس.

إذا كان عليك أن تتوقف وتكتب من ، ماذا ومتى لكل لقاء كان لديك كل يوم قد يؤثر بشدة على إنتاجيتك. نفس الشيء ينطبق على رصد وتسجيل نشاط الكمبيوتر. يمكنك تمكين كل إخفاق ممكن وخيار تسجيل النجاح وسيكون لديك سجل تفصيلي للغاية لكل ما يدور في جهاز الكمبيوتر الخاص بك. ومع ذلك ، ستؤثر بشكل كبير على الأداء لأن المعالج سيكون مشغولاً بتسجيل 100 إدخال مختلف في السجلات في كل مرة يقوم فيها شخص ما بالضغط على زر أو النقر فوق الماوس.

عليك أن تزن ما هي أنواع التسجيلات التي ستكون مفيدة مع تأثير ذلك على أداء النظام وتؤدي إلى التوازن الذي يناسبك. يجب أن تضع في اعتبارك أيضاً أن العديد من أدوات hacker وبرامج Trojan horse مثل Sub7 تتضمن أدوات مساعدة تسمح لهم بتعديل ملفات السجل لإخفاء أفعالهم وإخفاء التطفل حتى لا تتمكن من الاعتماد بنسبة 100٪ على ملفات السجل.

يمكنك تجنب بعض مشكلات الأداء ، وربما مشكلات إخفاء أدوات hacker من خلال أخذ بعض الأشياء بعين الاعتبار عند إعداد تسجيل الدخول. تحتاج إلى قياس حجم ملفات السجل وستتأكد من وجود مساحة كافية على القرص في المقام الأول. تحتاج أيضًا إلى إعداد سياسة لتحديد ما إذا كانت السجلات القديمة سيتم استبدالها أو حذفها أو إذا كنت تريد أرشفة السجلات على أساس يومي أو أسبوعي أو أي دوري آخر بحيث يكون لديك بيانات قديمة يمكنك الرجوع إليها مرة أخرى أيضًا.

إذا كان من الممكن استخدام محرك قرص ثابت مخصص و / أو وحدة تحكم في محرك الأقراص الثابتة ، سيكون لديك تأثير أقل للأداء نظرًا لأنه يمكن كتابة ملفات السجل على القرص دون الحاجة إلى القتال مع التطبيقات التي تحاول تشغيلها للوصول إلى محرك الأقراص. إذا كان بإمكانك توجيه ملفات السجل إلى كمبيوتر منفصل - ربما مخصصًا لتخزين ملفات السجل ومع إعدادات أمان مختلفة تمامًا - فقد تتمكن من حظر قدرة المتسلل على تغيير ملفات السجل أو حذفها أيضًا.

ملاحظة أخيرة هي أنه يجب عليك عدم الانتظار حتى يفوت الأوان وأن النظام الخاص بك قد تعطل بالفعل أو تعرض للخطر قبل عرض السجلات. من الأفضل مراجعة السجلات دوريًا حتى تتمكن من معرفة ما هو طبيعي وإنشاء خط الأساس. بهذه الطريقة ، عندما تصادفك إدخالات خاطئة ، يمكنك التعرف عليها على هذا النحو واتخاذ خطوات استباقية لتقوية نظامك بدلاً من القيام بالتحقيق الجنائي بعد فوات الأوان.