Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Waar kijken jullie naar als jullie naar Logbestanden aan het kijken?

31-12-2020, 07:28 door Anoniem, 5 reacties
Wat zijn de mogelijkheden tijdens het bekijken van log gegevens van databases en applicaties etc?

Waar kijken jullie naar als jullie naar Logbestanden aan het kijken?
Reacties (5)
31-12-2020, 12:56 door Anoniem
Naar mijn goed ingerichte SIEM, die correleert en me attendeert op onregelmatigheden in de logs. Het is onmogelijk om dit handmatig te doen.
31-12-2020, 14:18 door Tintin and Milou
Door Anoniem: Wat zijn de mogelijkheden tijdens het bekijken van log gegevens van databases en applicaties etc?
Ogen doen het meestal het beste bij de mens. Braille zou natuurlijk ook gebruikt kunnen worden.
notepad++, grep, vim zou je kunnen gebruiken.

Automatisch zou natuurlijk ook kunnen, die kun je automatisch acties laten uitvoeren.

Waar kijken jullie naar als jullie naar Logbestanden aan het kijken?
De gegevens, verdachte afwijkende patronen.

Belangrijke vraag, wil je dit gebruiken voor auditing,misbruik,aanvallen.
31-12-2020, 20:11 door Anoniem
Door Anoniem: Naar mijn goed ingerichte SIEM, die correleert en me attendeert op onregelmatigheden in de logs. Het is onmogelijk om dit handmatig te doen.

https://en.wikipedia.org/wiki/Security_information_and_event_management
01-01-2021, 01:28 door Anoniem
Het is mij bekend dat in NL een ziekenhuis is met een geavanceerd monitoringssysteem, een zgn. Dashboard.

Op dit dashboard is real-time te zien welke systemen allemaal 'up' zijn, en nog veel meer.

Zo hûrt het!
01-01-2021, 02:08 door Anoniem
Door Anoniem: Wat zijn de mogelijkheden tijdens het bekijken van log gegevens van databases en applicaties etc?

Waar kijken jullie naar als jullie naar Logbestanden aan het kijken?
Het is misschien goed als je de vraag iets meer toelicht. Bedoel je bij een vermoede "inbraak" of het beheren van logs en events?

Voorbeeld:

Je vermoed een SSH bruteforce / SSH inbraak (gewoon een toevallige random "casus")

- SSH Applicatie logs op de server (bv Openssh) -> zoek naar veel "niet gelukte" authenticatie logs (bruteforce aanval mogelijk of scan) en de gelukte inlog pogingen (inbraak of echte login).
- Netwerk packet logs die naar de server gaan (je kan filteren in packet capture bestanden zoals .pcap) Hiervoor moet je echter op het netwerk niveau al een log machine hebben die de netwerk packets loggen of 24/7 wireshark/tcpdump aan hebben staan op je server maar dat raad ik je af invb diskspace en grote log files die je server kunnen crashen.

In beiden gevallen is het pompen van logs naar een SIEM goed, aangezien je dan zoals de andere al zeggen, een snelle inzagen hebt in "malicieuze events, en afwijkingen van de baseline/de normaal".

Een SIEM is zegmaar een soort "log-jes verzamel bakje/machine" die snel met regels kan zien wat goed en fout is, je krijgt dan een "malicious event popup/melding". Het geeft je ook een grafische overzicht van events en logs waardoor je ook zelf denkend foutiefe dingen kan opsporen die het systeem als "oke" acht.

I hope that my stupid insights help :).

-RAMLETHAL
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure