MODULE 15 : Capturing and Event
corrlation

Phòng chống và điều tra tội phạm máy tính_ L01

Log
sinh viên thực hiện :
Nguyễn Bá Tiến AT140144
Ngô Đức Phú AT140433
Vũ Đức Thắng AT140342

1

GVHD : Thầy Nguyễn Mạnh Thắng


Mục Tiêu c Tiêu
• Nhật ký bảo mật máy tính
• Sự kiện đăng nhập trong
windows
• Nhật ký llS
• Nhật ký DHCP
• Ghi lại nhật ký ODBC
• Quản lý nhật ký
• Những thách thức trong quản
lý nhật ký

•
•
•
•

•
•
•
•

Ghi log tập chung
Syslog
Tại sao cần đồng bộ thời gian ?
NTP là gì
Máy chủ NIST
Tương Quan sự Kiện
Phương pháp tiếp cận
Công cụ thu thập và phân tích
nhật ký

2


Luồng mơ-đunng mơ-đun
Bảo mật
log

Tương
quan sự
kiện

Đồng bộ
hóa thời
gian


Log và
các vấn
đề pháp
lý

Cơng cụ
thu thập
và Phân
tích Log

Quản lý
log

ghi Log
tập
chung và
syslogs

3


Computer security logs

• Computer security logs chứa các thơng tin về các sự kiện xảy ra
trong tổ chức
Phân Loại

Nhật ký hệ điều
hành(OS)
• Nhậy ký hệ điều hành

cho server , máy trạm
và các thiết bị mạng
Ví dụ : bộ định tuyến ,
bộ chuyển mạch

Nhật Ký của các ứng dụng chạy
trên hệ thống ( Nhật ký ứng
dụng )
• Máy chủ email , máy chủ cơ sở
dữ liệu

Nhật Ký của phần mềm
ảo hóa
• Log của mạng và bảo
mật dựa trên máy chủ
phần mềm

4


Log hệ điều hành điều hành u hành
1 .Nhật ký sự kiện
Chứa thông tin về hoạt
động , các hành động
được thực hiện bởi các
thành phần hệ điều hành

2 .Nhật ký kiểm tra
Chứa sự kiện bảo mật
thông tin đã thành công

và các lần xác thực không
thành công , truy cập
tệp , thay đổi chính sách
bảo mật và thay đổi tài
khoản

5


Log ứng dụngng dục Tiêu ng
• Nhật ký ứng dụng bao gồm tất
cả các sự kiện được ghi lại bởi
chương trình
• Các sự kiện sẽ được ghi vào
nhật ký được xác định bởi các
nhà phát triển phầm mềm
•
⮚
⮚
⮚

Thơng tin các kiểu nhật ký :
Thông tin tài khoản
Thông tin sử dụng
Các hoạt động vận hành quan
trọng

6



Nhật ký phần mềm bảo mậtt ký phần mềm bảo mậtn mều hành m bảo mậto mật ký phần mềm bảo mậtt
Các loại mạng và phần mềm bảo
mật phổ biến bao gồm :
• Phầm mềm chống mã độc
• Hệ thống phát hiện xâm nhập và
ngăn chặn
• Phần mềm truy cập từ xa
• Wed proxy
• Phần mềm quản lý lỗ hỏng
• Máy chủ xác thực
• Bộ định tuyến
• Tường lửa
• Máy chủ phân vùng mạng

7


File nhật ký phần mềm bảo mậtt ký bộ định tuyến định tuyếnnh tuyếnn
Bộ định tuyến lưu trữ các tệp
nhật ký trong bộ nhớ cache của
bộ định tuyến
Cung cấp thông tin từ các cuộc
tấn cơng đến từ mạng

Thu thập hình ảnh luồng bit
của bộ đệm ẩn trong bộ định
tuyến để điều tra
Cung cấp thông tin từ lưu
lượng mạng


8


Nhật ký phần mềm bảo mậtt ký honeypot

Quản trị viên
honeypot là người
dung được ủy quyền
duy nhất

Các bản ghi được tìm thấy
trong honeypot được coi là
đáng nghi ngờ

Những bản ghi
honeypot này giúp
chun gia tìm được
kẻ tấn cơng

9


Tiếnn trình hoạt động trong linuxt độ định tuyếnng trong linux
Các tệp theo dõi
có thể được xem
bằng
lastcommom.com
mand

Tệp nhật ký theo

dõi được tìm thấy
tại / var/adm,var /
log hoặc / usr / adm

Tiến trình trong linux n trình trong linux
theo dõi các lệnh mà nh mà
người dung thực hiện i dung thực hiện c hiệnh mà n

Nó cho phép theo
dõi q trình bằng
lệnh acten hoặc
khởi động (/ usr / lib
/ acct / starup)

10


Sự kiện đăng nhập trong windows
khi người dung đăng nhập hoặc tắt máy tính , một sự kiện sẽ
10
1
được tạo ra
2

đăng nhập trên log bảo mật được tạo trong máy chủ từ xa khi người
dung kết nối

3

Có thể xác định việc đăng nhập qua lại giữa các máy chủ


4

nó tự kiểm tra các cuộc tấn công được khởi chạy

11


File nhật ký phần mềm bảo mậtt ký windown
• File Nhật ký windowns được lưu
trong %systemrooot%\
system32\winevt\log
⮚ System.evtx
⮚ Security.evtx
⮚ Application.evtx
• Có thể kiểm tra file tại control
panel > administrative tools:
• Các công cụ được sử dụng để
kiểm tra nhật ký :
⮚ event log explorer
⮚ event reporter
⮚ Kiwi log viewer
⮚ event log analyzer

12


Cấu hình ghi nhật ký windownu hình ghi nhật ký phần mềm bảo mậtt ký windown
❑ Windows ghi lại các sự kiện hệ
thống , thay đổi phần mềm hay

một số thay đổi cài đặt
❑ Nếu hệ thống bị xâm nhập thì
nhật ký sẽ được ghi lại trong hệ
thống , giúp cho việc điều tra dễ
dàng hơn
❑ Đi tới xem trình sự kiện và đặt
ứng dụng , bảo mật và hệ thống

13


analyzing windows logs
I.

Phân tích nhật ký windowns là một q
trình đọc các tệp nhật ký windowns

II. Chuyển đến trình xem chi tiết sự kiện , tìm
kiếm sự kiện và nhật ký cụ thể thông qua lọc
các nhật ký sự kiện

14


Windowns logs file : system log

▪ Nhật ký hệ thống lưu trữ các
thông báo sự kiện được tạo
bởi hệ điều hành windowns
▪ Đi tới xem lịch sử sự kiện và

chọn hệ thống ở ngăn bên
trái để xem them file nhật ký
hệ thống

15


Nhật ký phần mềm bảo mậtt ký file windowns : nhật ký phần mềm bảo mậtt ký ứng dụngng dục Tiêu ng
Thông báo sự kiện
log ứng dụng lưu trữ các thơng báo sự
kiện được ghi lại bởi các ứng dụng

Trình xem sự kiện
Xem trình sự kiện và chọn ứng dụng ở
ngăn trái để xem tệp nhật ký ứng dụng

16


Sự kiện đăng nhập trong nhật ký bảo mật kiệ điều hành n đăng nhật ký phần mềm bảo mậtp trong nhật ký phần mềm bảo mậtt ký bảo mậto mật ký phần mềm bảo mậtt
ID sự kiện
528

Người dung đăng nhập thành cơng vào máy tính

529

Ai đó đăng nhập với tên tài khoản không xác định

530


Cố gắng Truy cập bằng tài khoản người dùng ngoài thời gian cho phép

531

Một lỗ lực đăng nhập thực hiện bằng tài khoản đã bị vơ hiệu hóa

532

Một đăng nhập bằng tk đã hết hạn

533

Người dung khơng được phép đăng nhập trên máy tính này

534

Người dùng đã đăng nhập bằng kiểu đăng nhập không cho phép

535

Mật khẩu , tài khoản đăng nhập đã hết hạn

17


Sự kiện đăng nhập trong nhật ký bảo mật kiệ điều hành n đăng nhật ký phần mềm bảo mậtp trong nhật ký phần mềm bảo mậtt ký bảo mậto mật ký phần mềm bảo mậtt
ID sự kiện
536


Dịch vụ đăng nhập khơng hoạt động

537

Đăng nhập khơng thành cơng vì lý do khác

538

Một người dung đã đăng xuất

539

Tài khoản đã bị khóa tại lúc cố tình đăng nhập . Có thể mk khởi chạy khơng
thành cơng đẫn đến bị khóa

540

Đăng nhập thành công. Người dùng đã kết nối từ xa thành công

682

Người dung kết nối lại với phiên dịch vụ từ đầu cuối đã ngắt kết nối.

683

Người dùng đã ngắt kết nối phiên dịch vụ mà không đăng xuất

18



IIS Logs
1
2

Nhật ký IIS cung cấp thông tin về hoạt động của wed

Tất cả các lượt truy cập được đặt tại tệp <%systemroot%>\logfiles

3

Nếu proxy không được sử dụng , IP có thể ghi lại

4

lệnh liệt kê các tệp nhật ký :

19


Định tuyếnnh dạt động trong linuxng file nhật ký phần mềm bảo mậtt ký IIS
❑ Định dạng file nhật ký IIS là định
dạng dựa trên ASCII cố định
❑ Định dạng IIS bao gồm các mục cơ
bản như : IP client , tên người
dùng , tên server,….
❑ Ví dụ về thư mục tệp tin ISS :

20