Имам ли нужда от управление на логовете?
Ако имате нужда да поработите върху тази тема, ви предлагам да прочетете книгата на Антон Чувакин – Logging and Log Management: Авторитетното ръководство за разбиране на концепциите, свързани с логването и управлението на логове. Тя ми помогна изключително много в няколко проекта и бих искал да споделя факта, че това е изключително полезна книга.
Освен това искаме да споделим няколко идеи, които могат да ви бъдат полезни и които не са включени в горната книга.
Преди дори да започнете да събирате логове, трябва да разберете средата си. Ето защо одитите и оценките са полезни. Но това не е всичко – трябва да знаете колко данни произвеждат устройствата ви във формат на дневник всяка секунда, минута, час, 24 часа – след това трябва да разберете как да оптимизирате какво се записва и какво не.
Лесно е да се изгубите в количеството информация за регистриране, генерирана от всяко от вашите устройства, особено ако ги добавите всички наведнъж към SIEM (дори ако добавите само сървъри/комутатори и защитни стени и пропуснете настолните компютри).
Според нашия опит най-шумните устройства са системите Windows – особено контролерите на домейни и пощенските сървъри. На второ място са прокси сървърите и защитните стени.
За да разберете как работи регистрирането в среда на Microsoft, ви предлагам да прочетете тези две връзки:
След като сте прочели горното и сте разбрали разликата между основната и разширената конфигурация на политиката за одит, преминете към следващата връзка:
В него подробно се обясняват промените, които трябва да направите, за да имате оптимизирана за откриване среда за регистриране. Също така се подчертава към кои EventIDs трябва да се насочите.
За да почистите дневниците си и да събирате само това, което е необходимо, трябва да знаете какво може да бъде изхвърлено. За да разберете какво се регистрира, добра идея е да експортирате дневниците от най-шумния си сървър за един ден в CSV файл, да го отворите в Excel и да филтрирате по EventID. Трябва да е лесно да се разграничи чрез процент кои събития се случват най-често и кои не.
В един от случаите виждах хиляди събития в секунда с думата “Filtering engine”. Оказа се, че регистрирането на пакети е включено и всеки мрежов пакет, преминаващ през вътрешната защитна стена на Windows, се регистрира! Можете да си представите броя на дневниците, генерирани от този сървър на час, и полезността на тези дневници.
За съжаление такова ниво на детайлност може да доведе до невъзможност за работа на SIEM и на хранилището ви – и трябва да внимавате много какво записвате и какво изхвърляте.
Ако искате да започнете добре конфигурирането на SIEM, можете да го настроите да регистрира събитията, както в книгата, която споменахме по-рано: “Spotting the Adversary with Windows Event Log Monitoring” на NSA – и да разширите обхвата до други системи/събития, след като сте сигурни, че сте се справили с този въпрос. Не включвайте SIEM и всичките си устройства към него по един безразборен начин – всичките ви пари, похарчени за съхранение и SIEM, ще отидат напразно, ако системата не е оптимизирана и настроена за ефективност.
Ще ви бъде от полза, ако се съсредоточите и върху следните събития:
- 4688 Създаване на процес (след преминаване към Одит на процеси от командния ред и активиране на регистрирането)
- 4663 Одит на файлове/регистри
- 4075 Създадена услуга
- 4070 Променена услуга
- 4624 Успешно влизане на потребителя
- 5140 Достъпен дял
(Списъкът е взет от http://www.slideshare.net/Hackerhurricane/ask-aalware-archaeologist)
Същият процес може и трябва да се повтори за всички системи/устройства. Включете дадено устройство към решението си SIEM, след като сте разбрали напълно формата на регистриране, който то използва, количеството/вида на събитията и начина, по който можете да настроите броя на подробностите в тези регистри.
Можете да намерите отличен набор от ръководства за конфигуриране на Windows Logging туксъщо така.
Инструменти
Тези връзки ще ви бъдат полезни по време на работата ви по оптимизиране на средата за регистриране.
http://sourceforge.net/projects/syslogserverwindows/
http://sourceforge.net/projects/nxlog-ce/
LogExpert – особено този!
Един от любимите ми инструменти за бърз анализ и филтриране на дневници е Mandiant Highlighter.