image

Vijf fouten die tijdens log analyse gemaakt worden

dinsdag 26 oktober 2004, 12:18 door Redactie, 7 reacties

Om het bedrijfsnetwerk tegen kwaadwillenden en allerlei malware te beschermen hebben bedrijven vandaag de dag de beschikking over talloze oplossingen. Al die apparaten genereren gigantische hoeveelheden audit gegevens, waarschuwingen en andere logs. Gegevens die geanalyseerd moet worden, maar tijdens het analyse proces wil er nog wel eens wat misgaan. Dit artikel bekijkt 5 fouten die tijdens het analyseren van loggegevens gemaakt worden:

1. Het niet bekijken van de logs
2. Logs te kort opslaan
3. Het niet normaliseren van logs
4. Het niet prioritiseren van loggegevens
5. Alleen maar letten op de gevaarlijke dingen

Reacties (7)
26-10-2004, 12:47 door Anoniem
"Het niet bekijken van de logs" is toch geen fout bij het analyseren van
loggegevens? Dit wordt natuurlijk ook vaak veroorzaakt door punt 2:
ontbrekende logs kun je moeilijk bekijken.
26-10-2004, 13:56 door crypt0
"Alleen maar letten op de gevaarlijke dingen".
Als je een grote website hebt met veel bezoekers krijg je ook gigantische
veel en grote logs. Wat verwacht je nou van mensen met dat soort servers,
dat ze elk letterje van de log bekijken? Dan kan je net zo goed 30
werknemers inhuren die alleen maar de hele dag je logs nakijken.
26-10-2004, 14:26 door SirDice
Nummer 0: Geen gesynchroniseerde tijd.
26-10-2004, 17:41 door awesselius
Door SirDice
Nummer 0: Geen gesynchroniseerde tijd.

Erg sterk en zeker waar ;-)

Ik heb het zelf een paar keer gehad, nou dan zijn je logs
waardeloos. Daar kom je pas achter als je zoiets
vanzelfsprekends verwacht op een server en je collega daar
simpelweg gewoon geen bal om geeft.

Een server moet gewoon een ntp client hebben en zo hoog
mogelijk in de NTP chain zitten.

Echter krijgen sommige administrators weinig tijd of
resources om dit soort dingen aan te pakken. Allerlei kul
als het resetten van paswoorden zijn belangrijker kennelijk.
Het gesnoeid inrichten van een netwerkomgeving begint bij
het bij kunnen houden van hoe het netwerk belast/gebruikt
wordt.

Gewoon implementeren en er niet meer naar omkijken is vragen
om problemen. Sterker nog, je komt met problemen te zitten
die dagen kunnen kosten voordat je weet wat er aan de hand
is of was. Terwijl je dat voorkomt als je een systematisch
ingericht analyse lab hebt en ook gebruikt.

Tja, want logs........ die zijn er toch enkel voor *ALS* er
wat gebeurd en toch niet *VOORDAT* er wat gebeurd?

Als je zo denkt, dan ben je zeker van mening dat tools als
Snort en cons(n)orten voor niets actief loggen en analyses
outputten, fingerprints van aanvallen bijhouden en eigen
netwerkgedrag controleren?

- Unomi -
26-10-2004, 18:06 door Anoniem
O o wat weten wij ze het allemaal goed.
Hebben ze bij security niks beters te melden dan top 5 dingen die je wel of
niet moet doen?
27-10-2004, 10:18 door SirDice
Door Anoniem
O o wat weten wij ze het allemaal goed.
Hebben ze bij security niks beters te melden dan top 5 dingen die je wel of
niet moet doen?
Blijkbaar is het nog steeds nodig om regelmatig een paar open deuren
open te trappen. Althans, voor een beetje security pro zijn dit open deuren.
Er zijn hier echter ook regelmatig bezoekers die nog niet zo pro zijn...
27-10-2004, 11:00 door awesselius
Door SirDice
Door Anoniem
O o wat weten wij ze het allemaal goed.
Hebben ze bij security niks beters te melden dan top 5
dingen die je wel of
niet moet doen?
Blijkbaar is het nog steeds nodig om regelmatig een paar
open deuren
open te trappen. Althans, voor een beetje security pro zijn
dit open deuren.
Er zijn hier echter ook regelmatig bezoekers die nog niet zo
pro zijn...

En nog een goeie reactie van SirDice...... ;-)

Leren is een kwestie van herhalen van de te leren stof. Hoe
vaker het herhaald wordt, hoe meer het voor mensen gaat leven.

Ook mensen die er zelf weinig mee te maken hebben momenteel,
zullen later zich fragmenten kunnen herinneren van wat er
toen stond. Dan hebben ze er zelf misschien wel mee te maken
(zijn ze misschien zelf admin geworden) en gaan ze de
gelezen stof ook snappen en zelf toepassen. Maar eh.... waar
stond dat artikel ook alweer?

Dan is het fijn en goed en verstandig hier en daar het nog
eens herhaald te hebben.

Er worden in tijdschriften nog steeds tutorials geplaatst
over het zelf bouwen van websites en het snappen van HTML.
Nou, na zoveel jaar toch echt wel een open deur hoor. Maar
dat wij en misschien jezelf ook voorop lopen met bepaalde
zaken, wil niet zeggen dat het voor anderen ook gebakken
koek is.

Ikzelf ben ook blij als bepaalde zaken herhaald worden om
het nog maar eens op te frissen. Het hoge "oh ja, dat was/is
ook zo" gehalte en daarachter meteen de "gut, dat is ook
zo,hoe zat het ook alweer" erlebnis. Geen problemen mee hoor.

- Unomi -
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.