MODULE 15 : Capturing and Event
corrlation
Phòng chống và điều tra tội phạm máy tính_ L01
Log
sinh viên thực hiện :
Nguyễn Bá Tiến AT140144
Ngô Đức Phú AT140433
Vũ Đức Thắng AT140342
1
GVHD : Thầy Nguyễn Mạnh Thắng
Mục Tiêu c Tiêu
• Nhật ký bảo mật máy tính
• Sự kiện đăng nhập trong
windows
• Nhật ký llS
• Nhật ký DHCP
• Ghi lại nhật ký ODBC
• Quản lý nhật ký
• Những thách thức trong quản
lý nhật ký
•
•
•
•
•
•
•
•
Ghi log tập chung
Syslog
Tại sao cần đồng bộ thời gian ?
NTP là gì
Máy chủ NIST
Tương Quan sự Kiện
Phương pháp tiếp cận
Công cụ thu thập và phân tích
nhật ký
2
Luồng mơ-đunng mơ-đun
Bảo mật
log
Tương
quan sự
kiện
Đồng bộ
hóa thời
gian
Log và
các vấn
đề pháp
lý
Cơng cụ
thu thập
và Phân
tích Log
Quản lý
log
ghi Log
tập
chung và
syslogs
3
Computer security logs
• Computer security logs chứa các thơng tin về các sự kiện xảy ra
trong tổ chức
Phân Loại
Nhật ký hệ điều
hành(OS)
• Nhậy ký hệ điều hành
cho server , máy trạm
và các thiết bị mạng
Ví dụ : bộ định tuyến ,
bộ chuyển mạch
Nhật Ký của các ứng dụng chạy
trên hệ thống ( Nhật ký ứng
dụng )
• Máy chủ email , máy chủ cơ sở
dữ liệu
Nhật Ký của phần mềm
ảo hóa
• Log của mạng và bảo
mật dựa trên máy chủ
phần mềm
4
Log hệ điều hành điều hành u hành
1 .Nhật ký sự kiện
Chứa thông tin về hoạt
động , các hành động
được thực hiện bởi các
thành phần hệ điều hành
2 .Nhật ký kiểm tra
Chứa sự kiện bảo mật
thông tin đã thành công
và các lần xác thực không
thành công , truy cập
tệp , thay đổi chính sách
bảo mật và thay đổi tài
khoản
5
Log ứng dụngng dục Tiêu ng
• Nhật ký ứng dụng bao gồm tất
cả các sự kiện được ghi lại bởi
chương trình
• Các sự kiện sẽ được ghi vào
nhật ký được xác định bởi các
nhà phát triển phầm mềm
•
⮚
⮚
⮚
Thơng tin các kiểu nhật ký :
Thông tin tài khoản
Thông tin sử dụng
Các hoạt động vận hành quan
trọng
6
Nhật ký phần mềm bảo mậtt ký phần mềm bảo mậtn mều hành m bảo mậto mật ký phần mềm bảo mậtt
Các loại mạng và phần mềm bảo
mật phổ biến bao gồm :
• Phầm mềm chống mã độc
• Hệ thống phát hiện xâm nhập và
ngăn chặn
• Phần mềm truy cập từ xa
• Wed proxy
• Phần mềm quản lý lỗ hỏng
• Máy chủ xác thực
• Bộ định tuyến
• Tường lửa
• Máy chủ phân vùng mạng
7
File nhật ký phần mềm bảo mậtt ký bộ định tuyến định tuyếnnh tuyếnn
Bộ định tuyến lưu trữ các tệp
nhật ký trong bộ nhớ cache của
bộ định tuyến
Cung cấp thông tin từ các cuộc
tấn cơng đến từ mạng
Thu thập hình ảnh luồng bit
của bộ đệm ẩn trong bộ định
tuyến để điều tra
Cung cấp thông tin từ lưu
lượng mạng
8
Nhật ký phần mềm bảo mậtt ký honeypot
Quản trị viên
honeypot là người
dung được ủy quyền
duy nhất
Các bản ghi được tìm thấy
trong honeypot được coi là
đáng nghi ngờ
Những bản ghi
honeypot này giúp
chun gia tìm được
kẻ tấn cơng
9
Tiếnn trình hoạt động trong linuxt độ định tuyếnng trong linux
Các tệp theo dõi
có thể được xem
bằng
lastcommom.com
mand
Tệp nhật ký theo
dõi được tìm thấy
tại / var/adm,var /
log hoặc / usr / adm
Tiến trình trong linux n trình trong linux
theo dõi các lệnh mà nh mà
người dung thực hiện i dung thực hiện c hiệnh mà n
Nó cho phép theo
dõi q trình bằng
lệnh acten hoặc
khởi động (/ usr / lib
/ acct / starup)
10
Sự kiện đăng nhập trong windows
khi người dung đăng nhập hoặc tắt máy tính , một sự kiện sẽ
10
1
được tạo ra
2
đăng nhập trên log bảo mật được tạo trong máy chủ từ xa khi người
dung kết nối
3
Có thể xác định việc đăng nhập qua lại giữa các máy chủ
4
nó tự kiểm tra các cuộc tấn công được khởi chạy
11
File nhật ký phần mềm bảo mậtt ký windown
• File Nhật ký windowns được lưu
trong %systemrooot%\
system32\winevt\log
⮚ System.evtx
⮚ Security.evtx
⮚ Application.evtx
• Có thể kiểm tra file tại control
panel > administrative tools:
• Các công cụ được sử dụng để
kiểm tra nhật ký :
⮚ event log explorer
⮚ event reporter
⮚ Kiwi log viewer
⮚ event log analyzer
12
Cấu hình ghi nhật ký windownu hình ghi nhật ký phần mềm bảo mậtt ký windown
❑ Windows ghi lại các sự kiện hệ
thống , thay đổi phần mềm hay
một số thay đổi cài đặt
❑ Nếu hệ thống bị xâm nhập thì
nhật ký sẽ được ghi lại trong hệ
thống , giúp cho việc điều tra dễ
dàng hơn
❑ Đi tới xem trình sự kiện và đặt
ứng dụng , bảo mật và hệ thống
13
analyzing windows logs
I.
Phân tích nhật ký windowns là một q
trình đọc các tệp nhật ký windowns
II. Chuyển đến trình xem chi tiết sự kiện , tìm
kiếm sự kiện và nhật ký cụ thể thông qua lọc
các nhật ký sự kiện
14
Windowns logs file : system log
▪ Nhật ký hệ thống lưu trữ các
thông báo sự kiện được tạo
bởi hệ điều hành windowns
▪ Đi tới xem lịch sử sự kiện và
chọn hệ thống ở ngăn bên
trái để xem them file nhật ký
hệ thống
15
Nhật ký phần mềm bảo mậtt ký file windowns : nhật ký phần mềm bảo mậtt ký ứng dụngng dục Tiêu ng
Thông báo sự kiện
log ứng dụng lưu trữ các thơng báo sự
kiện được ghi lại bởi các ứng dụng
Trình xem sự kiện
Xem trình sự kiện và chọn ứng dụng ở
ngăn trái để xem tệp nhật ký ứng dụng
16
Sự kiện đăng nhập trong nhật ký bảo mật kiệ điều hành n đăng nhật ký phần mềm bảo mậtp trong nhật ký phần mềm bảo mậtt ký bảo mậto mật ký phần mềm bảo mậtt
ID sự kiện
528
Người dung đăng nhập thành cơng vào máy tính
529
Ai đó đăng nhập với tên tài khoản không xác định
530
Cố gắng Truy cập bằng tài khoản người dùng ngoài thời gian cho phép
531
Một lỗ lực đăng nhập thực hiện bằng tài khoản đã bị vơ hiệu hóa
532
Một đăng nhập bằng tk đã hết hạn
533
Người dung khơng được phép đăng nhập trên máy tính này
534
Người dùng đã đăng nhập bằng kiểu đăng nhập không cho phép
535
Mật khẩu , tài khoản đăng nhập đã hết hạn
17
Sự kiện đăng nhập trong nhật ký bảo mật kiệ điều hành n đăng nhật ký phần mềm bảo mậtp trong nhật ký phần mềm bảo mậtt ký bảo mậto mật ký phần mềm bảo mậtt
ID sự kiện
536
Dịch vụ đăng nhập khơng hoạt động
537
Đăng nhập khơng thành cơng vì lý do khác
538
Một người dung đã đăng xuất
539
Tài khoản đã bị khóa tại lúc cố tình đăng nhập . Có thể mk khởi chạy khơng
thành cơng đẫn đến bị khóa
540
Đăng nhập thành công. Người dùng đã kết nối từ xa thành công
682
Người dung kết nối lại với phiên dịch vụ từ đầu cuối đã ngắt kết nối.
683
Người dùng đã ngắt kết nối phiên dịch vụ mà không đăng xuất
18
IIS Logs
1
2
Nhật ký IIS cung cấp thông tin về hoạt động của wed
Tất cả các lượt truy cập được đặt tại tệp <%systemroot%>\logfiles
3
Nếu proxy không được sử dụng , IP có thể ghi lại
4
lệnh liệt kê các tệp nhật ký :
19
Định tuyếnnh dạt động trong linuxng file nhật ký phần mềm bảo mậtt ký IIS
❑ Định dạng file nhật ký IIS là định
dạng dựa trên ASCII cố định
❑ Định dạng IIS bao gồm các mục cơ
bản như : IP client , tên người
dùng , tên server,….
❑ Ví dụ về thư mục tệp tin ISS :
20