Jo moatte planje foarôfgeand te fangen in yntroarder
Hopefully hâlde jo jo computers oppakt en aktualisearre en jo netwurk is feilich. It is lykwols gewoan ûnferjitlik dat jo op guon punten sille wurde mei skriklike aktiviteit - in firus , wjirm , trojan hynder, hack-oanfal of oars. Wannear't dat bart, as jo de goeie dingen dien hawwe foardat de oanfal jo de funksje bepale hoe't en hoe't de oanfal slagge is folle makliker.
As jo ea de TV-sjo CSI besocht hawwe, of krekt oer alle oare plysje of legale TV-sjo's, witte jo dat sels mei de slimste skuon fan forensike bewiis de ûndersikers kinne identifisearje, trape en fekje fan 'e misdied.
Mar, soe it net moai wêze as se har net hawwe moatte troch fibers te finen om de ien hier te finen dy't eins de tillefoan heart en DNA ûndersykje om syn eigner te identifisearjen? Wat as der in rekord hâlden waard op elke persoan wa't se yn kontakt stie en doe? Wat as dat in rekord hâlden waard fan wat der mei dy persoan dien waard?
As dat it gefal wie, soene ûndersikers lykas dy yn CSI miskien wêze kinne fan bedriuwen. De plysje soe it lichem fine, kontrolearje de rekord om te sjen hokker lêste yn kontakt kaam is mei de ferstoarne en wat dien en hja soene de identiteit al hawwe sûnder te digjen. Dit is wat logging biedt yn termen fan it leverjen fan forensyske bewiisen as der besef is fan aktiviteiten op jo kompjûter of netwurk.
As in netwurkbehearder net oanmeld hat of net de goede eveneminten opnij oanmeitsje, ferplichte foarensjele bewizen om de tiid en datum te identifisearjen of metoade fan in net autorisearre tagong of oare oare beleanning kin lykas dreech wêze as sykjen fan de sprekbiale needlevel yn in haystack. Faak wurdt de wiere oarsaak fan in oanfal nea ûntdutsen. Hacked of befeilige masines wurde gien en elkenien giet nei saak as gewoan werom sûnder wierheid te witten as de systemen better binne beskerme as se wienen doe't se op it earste plak rekken krigen.
Guon applikaasjes lûke dingen foar standert. Webserjochten lykas IIS en Apache brûke normaal alle ynkommende ferkear. Dit wurdt fral brûkt om te sjen hoefolle minsken de webside besykje, wat IP-adres dy't se brûkten en oare metrike-ynformaasje oer de webside. Mar, yn 't gefal fan wormen lykas CodeRed of Nimda, kinne jo de webprotokol ek sjen as in befeilige systemen besykje jo tagong te krijen om jo systeem te sykjen, omdat se bepaalde kommando's besykje dat yn' e logboek sjen sil oft se suksesfol binne of net.
Guon systemen hawwe ferskate auditearring en loggingfunksjes ynboud. Jo kinne ek ekstra software ynstalleare om ferskate aksjes op 'e kompjûter te kontrolearjen en te logboeken te besjen (sjoch Tools yn' e keppel nei it rjochts fan dit artikel). Op in Windows XP Professional-masine binne opsjes foar kontrôle logon-eveneminten, account management, directory-tagong tagong, logon-eveneminten, object access, beliedsferoaring, privileel gebrûk, prozes tracking en system eveneminten.
Foar elk dêrfan kinne jo kieze om súkses te melden, mislearjen of neat. It brûken fan Windows XP Pro as it foarbyld, as jo gjin loggening foar objekt accesses ynskeakele hawwe, jo hawwe gjin rekken fan wannear't in bestân of map lêst tagong is. As jo allinich mislearre jo misbrûk jo hawwe in record of wannear jo ien hawwe besykje de triem of map te besjen, mar mislearre omdat jo gjin goede tagongsrjochten of autorisaasje hawwe, mar jo hawwe gjin rekken fan wannear't in autorisearre brûker de triem of map tagong hat .
Omdat in hacker in soad brûke kin in brûkte brûkersnamme en wachtwurd, kinne jo miskien súkses hawwe op triemmen. As jo de logs sjogge en sjogge dat Bob Smith it bedriuw finansjeel ferklearring op 3am op snein ferlern makket it feilich te wêzen dat Bob Smith sliept en dat miskien syn brûkersnamme en wachtwurd beweecht . Yn elts gefal wittest no no wat it barde mei de bestân en wannear't it jo in útgongspunt foar ûndersiikret hoe't it barde.
Sawol mislearre en súksesproblemen kinne nuttige ynformaasje en oanwizings leverje, mar jo moatte jo kontrôle en loggingaktiviteiten sille mei system performance. It gebrûk fan it foarbyld fan 'e humoristyske boeken fan' e boppesteande soe it ûndersikers helpe as minsken in log fan elkenien hâlde dy't se kontakt hawwe mei en wat barde yn 't ynteraksje, mar it soe daliks minsken langer delkomme.
As jo moasten en stopje wa't, wat en wannear foar elke moeting jo de hiele dei hat, kin it jo effektive effekt ha. Itselde dat is wier fan it kontrolearjen en it loggen fan kompjûteraktiviteit. Jo kinne elke mooglike mislearring en súkses opnimme foar tagongsrjochten en jo sille in tige detaillearre record hawwe fan alles wat jo yn jo kompjûter giet. Jo sille lykwols geweldig ynfloed op prestaasjes wurde, om't de prosessor by elke kear opnommen is op 100 opsjes yn 'e logboeken as ien ien knop drukket of klikst op' e mûs.
Jo moatte gewichtje wat hokker loggening wol foardielich wêze mei de ynfloed op system performance en komme mei de lykwichtens dat jo bêste wurket. Jo moatte ek hâlde dat al in protte hackers en trojene hynderprogramma 's sa as Sub7 bywurkingen ynfolje, dy't se lochdateare feroarje om har aksjes te ferbergje en de yntreding te ferbergjen sadat jo net 100% fan de log-bestannen kinne kinne.
Jo kinne guon fan 'e prestaasjeproblemen foarkomme en eventueel de problemen fan' e hackers fan 'e harkers troch it tapassen fan bepaalde dingen by it opstellen fan jo loggening. Jo moatte oanmeitsje hoe grut de log-bestannen krije en jouwe der wis fan dat jo genôch skiifromte op it earste plak hawwe. Jo moatte ek in belied sette om te freegjen oft âlde logs oerskreaun of wiske wurde of as jo de logs op in tydskrift, wyklik of oare periodike basis achterje, sadat jo âldere gegevens hawwe om ek werom te sjen.
As it mooglik is in beskate fêste skiif en / of fêste kontrôler te brûken, sille jo minder prestaasjes ynfloed hawwe omdat de log-bestannen op 'e skiif skreaun wurde kinne sûnder te fjochtsjen mei de applikaasjes dy't jo besykje te rinnen foar tagong ta de rydbewiis. As jo de logboeken kinne nei in aparte komputer rjochtsje - mooglik wittenskiplik foar it bewarjen fan lochtriemmen en mei folsleine ferskillende feiligens-ynstellingen - kinne jo in yntripe-mooglikheid blokkearje om de log-bestannen ek te feroarjen of te ferwiderjen.
In lêste note is dat jo net wachtsje moatte oant it is te let en jo systeem is al ferûngelokke of kompromisearre foardat jo de logs sjen. It is it bêste om de logs periodyk te besjen sadat jo kinne witte wat normaal is en in baseline opnimme. Op dy manier, as jo oer falske yngongen komme, kinne jo se as anonym erkennen en proaktive stappen te dwaan om jo systeem earst te hardenjen as it ferplichtjen fan ' e forensyske ûndersyk nei har te let.