Понимание ведения журнала Windows
Защита важных серверов с помощью информации журналов.
Ведение журнала — это малоиспользуемый инструмент в большинстве сетей Windows. Он в основном используется в кризисных ситуациях для исправления событий, которые уже произошли и которые не были предотвращены. Это верно по нескольким причинам, во-первых, необходимо передать огромные объемы данных, и поскольку с точки зрения логистики может быть нецелесообразно проверять каждый журнал в обширной сети вручную, этот аспект игнорируется. Доступны приложения, которые объединяют журналы в центральном месте, но для уменьшения нагрузки требуется какая-то форма искусственного интеллекта. Под этим я подразумеваю фильтр, который сможет извлекать только соответствующую информацию, необходимую для понимания того, что происходит в сети. Кроме того, журналы переполняются, тот факт, что журналы хранятся на удаленных машинах, еще больше усугубляет проблему, поскольку их никто не проверяет, и это представляет риск, поскольку резидентный пользователь или удаленный злоумышленник может стереть этот журнал, удалив свои следы и оставив безопасность. профессионал без следов, чтобы следовать. Существуют интеллектуальные приложения, которые централизованно консолидируют журналы, а затем удаляют их с удаленных клиентских компьютеров и сохраняют в презентабельном виде для проверки специалистом по безопасности.
Служба журнала событий автоматически запускается автоматически при запуске компьютера с Windows. Все пользователи могут просматривать журналы приложений и системы. Только администраторы могут получить доступ к журналам безопасности. Ведение журнала безопасности отключено по умолчанию. Чтобы убедиться, что журнал безопасности доступен, он должен быть включен администратором.
В Windows есть несколько различных журналов, которые следует отслеживать. Наиболее важным журналом является журнал безопасности для специалиста по безопасности, поскольку этот журнал отслеживает все, что происходит в сети. Различные типы журналов:
- Журнал приложений — это события, регистрируемые приложениями.
- Журнал безопасности. Этот журнал содержит записи о действительных и недействительных попытках входа в систему и событиях, связанных с использованием ресурсов, таких как создание, открытие или удаление файлов или других объектов. Этот журнал также настраивается.
- Системный журнал содержит событие системного компонента. Сбои драйверов и аппаратные проблемы.
- Контроллеры домена имеют две дополнительные службы каталогов службы каталогов журналов.
- Журнал службы репликации файлов, содержащий события службы репликации файлов Windows. Изменения Sysvol записываются в журнал репликации файлов.
- Машины DNS также сохраняют события DNS в журналах.
Каждый журнал содержит различные типы журналов, т.е. ошибки, предупреждения, информацию, аудит успеха и аудит неудач. Стало очевидным, что необходим сторонний инструмент автоматизации, на любой загруженной машине или в любой загруженной сети регистрируется много часов и создаются мегабайты файлов журналов, что делает логически невозможным мониторинг всех журналов на всех сетевых устройствах. компьютеры с ограниченными ресурсами.
Ниже приведены несколько ценных функций, которые могут оказаться полезными при мониторинге журналов.
- Мониторинг в режиме реального времени и уведомление, если происходят события, на которые необходимо обратить внимание специалиста по безопасности. Windows не может уведомить сотрудника службы безопасности о инициированных событиях.
- Журнал аудита неконсолидирован в Windows. Это означает, что отдельные машины хранят изолированные журналы событий, что делает задачу просмотра журналов событий чрезвычайно сложной. Гораздо проще просмотреть один журнал событий, чтобы получить текущее состояние сети, чем просмотреть несколько журналов событий и пропустить информацию из-за огромного количества записей, которые не были отфильтрованы. Поэтому идеально иметь центральную систему мониторинга журналов, которую специалист по безопасности может использовать с первого взгляда.
- Журналы безопасности также можно отслеживать удаленно, это означает, что когда злоумышленники пытаются использовать локальные учетные записи для входа в систему, журнал аудита ограничивается локальными журналами безопасности.
- Менее очевидное описание критического события. По обычной традиции Microsoft «событие 12345%$# означает, что ваш сервер был перезагружен или что-то в этом роде». Журналы загадочны и вводят в заблуждение. Приложения для консолидации и удаленного чтения журналов имеют оповещения, которые могут быть предварительно запрограммированы для определенных событий, чтобы значительно облегчить жизнь администраторам при расшифровке вводящих в заблуждение журналов.
- Архивирование. В большинстве стран такие учреждения, как банки, обязаны хранить журналы аудита более 7 лет, а в некоторых случаях даже дольше. Типичная настройка Windows по умолчанию настроена на перезапись журналов поверх журналов при достижении определенного размера. Другая проблема заключается в том, что пользователь должен физически архивировать и очищать журналы. Автоматизация этого процесса доступна и делает его централизованным, что увеличивает время продуктивной работы в большой сетевой среде, поскольку уменьшает количество обращений в службу поддержки и позволяет администраторам видеть, что происходит локально на компьютере пользователя.
- Целостность файла журнала. Файлы, хранящиеся на компьютере пользователя, имеют меньшую целостность, поскольку пользователь может быстро очистить журналы, а злоумышленник после получения доступа может замести следы, очистив журналы событий. Злоумышленники иногда производят чрезмерное количество событий, запускающих действия, чтобы заполнить журналы безопасности, чтобы замести следы. Используя приложения для консолидации и удаленного просмотра журналов, специалист по безопасности может быть предупрежден об этом явлении и может немедленно на него отреагировать; кроме того, журналы хранятся удаленно, поэтому пользователь или злоумышленник не могут их стереть. В Интернете существуют приложения, которые делают журналы локальных компьютеров бесполезными, поскольку они могут создавать огромные объемы трафика и заполнять журналы мусором или полностью удалять их.
- Фильтрация логов. Перегрузка данными — огромная проблема. Приложения для мониторинга журналов имеют возможность отфильтровывать нерелевантные шумовые события, которые занимают время и место, и отображать только соответствующие журналы.
- Возможность отслеживать доступ к важным файлам. Этого можно добиться путем аудита неудачного доступа к этим файлам, что позволяет узнать, пытается ли кто-то получить доступ к файлам.
- Приложение, которое может оповещать специалиста по безопасности с помощью SMS (мобильный телефон) по электронной почте и пейджера, оказывается ценным, поскольку администратор может не постоянно находиться рядом с компьютером, это должно вызвать реакцию. Затем администратор может отреагировать или установить системы, которые можно дистанционно активировать, чтобы остановить потенциальную атаку.
- Мониторинг журнала веб-сервера важен и должен быть упомянут как отдельный пункт, так как это часто упускается из виду поспешными администраторами. Используя программное обеспечение, которое контролирует ваш локальный или удаленный веб-сервер, вы можете добавить дополнительный уровень безопасности на свой веб-сервер. Именно здесь полезны функции оповещения программного обеспечения для мониторинга журналов, поскольку иногда сложно отслеживать серверы, находящиеся в DMZ.
- Регистрация данных в мощных базах данных с возможностью поиска, таких как SQL, является преимуществом и предпочтительнее в корпоративной среде, поскольку самое хорошее доступное централизованное программное обеспечение для регистрации обеспечивает этот тип функций.
- Отчеты с использованием хорошо известных инструментов, таких как Crystal, также необходимы в крупных организациях, поскольку тенденции легче увидеть в изображении. Программное обеспечение для мониторинга журналов должно иметь возможность связываться с отчетами Crystal Reports и другим известным программным обеспечением для создания отчетов.
- Категориальная сортировка событий журнала по приоритетным разделам. Программное обеспечение должно позволять администратору безопасности мгновенно просматривать события безопасности высокого профиля, события безопасности среднего или низкого уровня, что экономит время и обеспечивает хорошую управленческую отчетность.
- Очистка журналов также должна контролироваться, поскольку только администратор должен иметь возможность очищать журналы безопасности.
- Возможность сделать регистрацию определенных событий на определенных машинах более важной также полезна, поскольку машины, которые должны оставаться в безопасности, должны отслеживаться на более детальном уровне.
Информация, на которую следует обратить внимание при мониторинге сетевой безопасности инфраструктуры.
Существуют определенные ключевые элементы, за которыми специалист по безопасности должен постоянно следить, чтобы гарантировать, что сеть работает без паразитирующих злоумышленников. Злоумышленники часто нацелены на файлы журналов и журнал аудита, потому что они знают, что, если опытный специалист по безопасности прочитает журналы, они могут быть заподозрены или даже отслежены. Кроме того, если нет записи о том, что конкретное действие имело место, становится невероятно сложно доказать, что оно действительно имело место. Важно установить ключевые тенденции безопасности. Очень важно найти приложение с мощными настраиваемыми возможностями, так как это поможет вам ежедневно получать точную информацию, которую вы ищете. Мир автоматизации программного обеспечения сэкономил администраторам безопасности миллионы часов. Не позволяйте автоматизации препятствовать вашей способности выявлять соответствующие нарушения безопасности. Позаботьтесь и уделите время планированию отчетов, чтобы обеспечить создание полного подробного отчета, в котором будут выделены события, относящиеся к вашей конкретной сетевой среде. Неудачные входы в систему, неверные имена пользователей или пароли, блокировка учетной записи, вход в систему после определенных типичных периодов (например, посреди ночи) и неудачные события доступа к ресурсам — все это указывает на потенциальные риски безопасности, и эти события должны быть исследованы и подтверждены заинтересованными пользователями..
На приведенной выше диаграмме представлена сеть, в которой внутренние и внешние злоумышленники очищают журналы. После уведомления администратора будут приняты ответные меры.
Ниже приведены некоторые типы событий, это лишь некоторые из них, и они должны дать вам представление о том, насколько вы будете перегружены журналами событий, если у вас нет помощи цифровой фильтрации:
- Тип 2: Вход в консоль с локального компьютера.
- Тип 3: вход в сеть или сопоставление сети (использование сети/просмотр сети)
- Тип 4: пакетный вход в систему, запуск планировщика.
- Тип 5: вход в службу — служба, использующая учетную запись.
- Тип 7: Разблокировать рабочую станцию
- Идентификатор события 529: Неизвестное имя пользователя или неверный пароль
- Идентификатор события 530: нарушение ограничения времени входа в систему
- Идентификатор события 531: учетная запись отключена
- Идентификатор события 532: срок действия учетной записи истек.
- Идентификатор события 533: ограничение рабочей станции, пользователю не разрешен вход в систему на этом компьютере.
- Идентификатор события 534: Недостаточные права для входа в консоль.
- Идентификатор события 535: срок действия пароля истек
- Идентификатор события 536: служба сетевого входа не работает
- Идентификатор события 537: непредвиденная ошибка
- Идентификатор события 539: Ошибка входа в систему: учетная запись заблокирована
- Идентификатор события 627: NT AUTHORITYANONYMOUS пытается изменить пароль
- Идентификатор события 644: учетная запись пользователя заблокирована
- Идентификатор события 541: установлена ассоциация безопасности IPSec.
- Идентификатор события 542: сопоставление безопасности IPSec завершено (режим защиты данных).
- Идентификатор события 543: сопоставление безопасности IPSec завершено (обмен ключами)
- Идентификатор события 544: не удалось установить сопоставление безопасности IPSec, поскольку одноранговый узел не смог пройти аутентификацию.
- Идентификатор события 545: сбой проверки подлинности однорангового узла IPSec
- Идентификатор события 546: не удалось установить ассоциацию безопасности IPSec, поскольку одноранговый узел отправил недопустимое предложение.
- Идентификатор события 547: не удалось согласовать сопоставление безопасности IPSec.
- Идентификатор события 672: выдан билет аутентификации
- Идентификатор события 673: выдан сервисный билет
- Идентификатор события 674: выданный билет продлен
- Идентификатор события 675: сбой предварительной аутентификации
- Идентификатор события 676: Ошибка запроса билета аутентификации
- Идентификатор события 677: Ошибка запроса сервисного билета
- Идентификатор события 678: учетная запись сопоставлена для входа в систему
- Идентификатор события 679: не удалось сопоставить учетную запись для входа в систему.
- Идентификатор события 680: учетная запись, используемая для входа в систему
- Идентификатор события 681: Ошибка входа в систему. Там код ошибки был:
- Идентификатор события 682: сеанс переподключен к winstation
- Идентификатор события 683: сеанс отключен от winstation
Время — важный актив, и организации обменивают время ИТ-специалистов на деньги. Проверка журналов вручную занимает очень много времени и не является тем, что имеют в виду организации, когда нанимают высококвалифицированного специалиста, хотя эту работу все же необходимо выполнить. Использование сторонних продуктов необходимо для архивирования журналов событий и составления отчетов в сети организации. Чтобы найти дополнительную информацию, посетите http://www.windowsecurity.com/software/Log_Monitoring/, на этом веб-сайте содержится много ценной информации о мониторинге журналов и его важности.
Резюме
Система безопасности Windows NT/2000, похоже, распределяет сетевые события по всем компьютерам в домене. Операционные системы обеспечивают полную функциональность ведения журнала для фиксации событий безопасности, но не предоставляют значительных инструментов для проведения комплексной проверки и анализа. Архивирование, мониторинг в реальном времени и фильтрация — это другие проблемы, которые операционная система Windows не решает. Это не отменяет того факта, что специалистам по безопасности необходимо отслеживать журналы эффективным и действенным способом, который превращает журналы в содержательные отчеты организации. Менеджмент всегда ищет жизнеспособные отчеты, которые имеют определенное значение для бизнеса. Используя хорошие отчеты, отражающие происходящие события безопасности, вы сможете добавить серьезное измерение ценностному предложению ИТ.