際際滷

際際滷Share a Scribd company logo

Analiza logova u digitalnoj forenzici

Damir Delija
Damir Delija

Analiza logova u digitalnoj forenzici hroug 14

1 of 16
Downloaded 23 times
sigurnost integrirana Analiza logova u raunalnoj forenzici Damir Delija Dr.Sc.E.E
Plan predavanja sigurnost Analiza logova - 邸to je to Kori邸tenje logova i analize logova u raunalnoj forenzici. razni naini izvoenja analiza, prikupljanja integrirana podataka iz raznih vrsta logova razni alati i potrebne vje邸tine postoje i neortodoksni postupci, osnovani na isto forenzikim pristupima ili preventivnoj raunalnoj forenzici
to je analiza logova sigurnost Analiza logova je kljuni dio kontrole svakog raunalnog sustava Ekvivalent early warning radarskog sustava Pouzdan trag svega 邸to se dogaalo, 邸to se integrirana dogaa i 邸to se mo転e desiti u nekom sustavu Negdje se jo邸 mo転e uti i gatanje iz logova
Kori邸tenje logova i analize logova u sigurnost raunalnoj forenzici U sluaju vje邸tog napadaa jedini tragovi koji se mogu nai su logovi na offline log collecting sustavu Uz napomenu da u taj remote logging sustav napada nije mogao ili nije znao provaliti integrirana Dakle posljednja linija obrane gledano sa stanovi邸ta klasine reaktivne forenzike Osim toga bogat, prebogat, izvor podataka o radu sustava i korisnika
Dogaaji u sustavu sigurnost U logovima se bilje転e va転ni dogaaji za sustav Dogaaj (event) situacija koja se mo転e opazitii Modifikaicija unutar zadanog okru転enja u nekom vremenskom periodu. integrirana Dogaaj mo転e biti odreeno stanje ili promjena stanja sustava. Mo転e biti opisan ili zabilje転en u log (zapis) Pojedinani zapis naziva se log (log entry). Pojedinani zapis sadr転i opis jednog ili vi邸e dogaaja.
Podjele logova sigurnost Podatke koje dobivamo iz logova mo転e se grubo podijeliti u dvije grupe Vremenske serije Osnovni podaci iz logova integrirana Svaki zapis ima time stamp koji ga vremenski pozicionira u nizu drugih zapisa Statike podatke Konfiguracije, Debug outpute i sl Napomena: ima i drugih podjela
Razumijevanje logova sigurnost Va転an dio analize logova je Prikaz logova i podatka iz logova u razumljivom obliku Racionalizacija i pretprocesiranje logova integrirana Adminstracija logova - uvjek zaboravljena ili bar zanemarena Vizualizacija logova je umjetnost za sebe
Vizualizacija logova sigurnost Izuzetno va転an ali zanemaren pristup logovima i radu sa podacima iz sustava Uz malo vje邸tine mo転e se puno postii Improvizacije obini tablini kalkulator mo転e napraviti uda integrirana Osim 邸to jako olak邸ava rad sa podacima, omoguuje i jednostavan prikaz netehnikom osoblju, obino onima koji donose odluke Raffael Marty: Applied Security Visualization, 2008, Addison Veslley ISBN-13: 978-0-321-51010-5
Raunalna forenzika sigurnost Vrlo kratko: Osiguravanje i izuzimanje svega 邸to je digitalni dokaz Pronala転enje dokaza i analiza znanstvenom metodom Formalno: integrirana Raunalna forenzika ili digitalna forenzika definira se kao prikupljanje, za邸tita i analiza dokaza u digitalnom obliku Prezentacija digitalnih dokaza kao materijalnih dokaza u kasnijim eventualnim sudskim postupcima..
Elementi raunalne forenzike sigurnost Raunalnu forenziku dijelimo na Forenziku raunala Forenziku mre転a (umre転enih sustva) Forenziku logova sustava (system log forensic) integrirana Postoji i podjela na : Proaktivnu forenziku Reaktivnu forenziku (klasina)
Raunalna forenzika i forenziko sigurnost znaenje logova To je forenzika logova sustava - system log forensic Analiza zabilje転enih kljunih dogaaja u sistemskim logovima (centraliziranim ili integrirana lokalnim) Osnovna svrha gradnje vremenskog slijeda (timelinea) dogaanja
Sustavi za prikupljanje i analizu sigurnost logova Komercijalni ili free te邸ko rei 邸to je bolje Svima isti cilj prikupiti i uvati logove Analizirati logove Prikaz rezultata analiza izvje邸taji integrirana Obino uvjetovani zahtjevima regulatora Odabir alata je kompleksan postupak, postoje kuharice za odabir
Forenziki alati i analiza logova sigurnost Analiza logova dio funkcionalnosti alata Podr転ani formati logova rasprostranjenih operacijskih sustava Primjer: Guidance Software Encase integrirana http://www.guidancesoftware.com/ Modul za pronala転enje i analizu windows i unix logova unutar automatske pripreme sluaja Mogu poslu転iti i obini alati za analizu logova bitno je da ne mijenjaju sadr転aj logova
Zakljuak sigurnost Bez logova nema forenzike sustava Analiza logova se isplati I u drugim situacijama, tj kad se radi sa logovima treba se postupati in転enjerski pouzdano Artefakti na file sistemu nam omoguuju da vidimo zadnje stanje i vlasni邸tva, integrirana Logovi nam ka転u pro邸lost, tko je i kada je ne邸to promijenio. Da bi logovi bili forenziki korisni moraju biti potpuni i precizni. Navedeni primjeri pokazuju da logovi i njihovo kori邸tenje ima velike potencijalne, ali samo ako ih se obradi, analizira i prika転e na pravi nain i pravim alatima.
Korisni linkovi i reference sigurnost Security Log Management, Syngress, Jacob Babbin January 2006, ISBN-13: 978-1-59-749042-9; Short Topics in System Administration Building a Logging Infrastructure, Abe Singer and Tina Bird, USENIX Association, 2004, ISBN 1-931971- 25-0; Crimeware http://en.wikipedia.org/wiki/Crimeware; http://www.sans.org/reading_room/whitepapers/logging/; integrirana "EnCase速 Enterprise", https://www.guidancesoftware.com/; Common Event Expression white paper, http://cee.mitre.org, 2007; Marty, Rafael, Applied security visualization Addsison Wealey 2008, ISBN 0-321-51010-0; David N. Blank-Edelman , "Perl for System Administration", ISBN 1- 56592-609-9, First edition;
Pitanja sigurnost Kako vi kod sebe koristite logove ? Da li bi u sluaju incidenta mogli ne邸to izvui iz podataka ? integrirana Pitanja za mene na: damir.delija@insig2.hr

More Related Content

Analiza logova u digitalnoj forenzici

  • 1. sigurnost integrirana Analiza logova u raunalnoj forenzici Damir Delija Dr.Sc.E.E
  • 2. Plan predavanja sigurnost Analiza logova - 邸to je to Kori邸tenje logova i analize logova u raunalnoj forenzici. razni naini izvoenja analiza, prikupljanja integrirana podataka iz raznih vrsta logova razni alati i potrebne vje邸tine postoje i neortodoksni postupci, osnovani na isto forenzikim pristupima ili preventivnoj raunalnoj forenzici
  • 3. to je analiza logova sigurnost Analiza logova je kljuni dio kontrole svakog raunalnog sustava Ekvivalent early warning radarskog sustava Pouzdan trag svega 邸to se dogaalo, 邸to se integrirana dogaa i 邸to se mo転e desiti u nekom sustavu Negdje se jo邸 mo転e uti i gatanje iz logova
  • 4. Kori邸tenje logova i analize logova u sigurnost raunalnoj forenzici U sluaju vje邸tog napadaa jedini tragovi koji se mogu nai su logovi na offline log collecting sustavu Uz napomenu da u taj remote logging sustav napada nije mogao ili nije znao provaliti integrirana Dakle posljednja linija obrane gledano sa stanovi邸ta klasine reaktivne forenzike Osim toga bogat, prebogat, izvor podataka o radu sustava i korisnika
  • 5. Dogaaji u sustavu sigurnost U logovima se bilje転e va転ni dogaaji za sustav Dogaaj (event) situacija koja se mo転e opazitii Modifikaicija unutar zadanog okru転enja u nekom vremenskom periodu. integrirana Dogaaj mo転e biti odreeno stanje ili promjena stanja sustava. Mo転e biti opisan ili zabilje転en u log (zapis) Pojedinani zapis naziva se log (log entry). Pojedinani zapis sadr転i opis jednog ili vi邸e dogaaja.
  • 6. Podjele logova sigurnost Podatke koje dobivamo iz logova mo転e se grubo podijeliti u dvije grupe Vremenske serije Osnovni podaci iz logova integrirana Svaki zapis ima time stamp koji ga vremenski pozicionira u nizu drugih zapisa Statike podatke Konfiguracije, Debug outpute i sl Napomena: ima i drugih podjela
  • 7. Razumijevanje logova sigurnost Va転an dio analize logova je Prikaz logova i podatka iz logova u razumljivom obliku Racionalizacija i pretprocesiranje logova integrirana Adminstracija logova - uvjek zaboravljena ili bar zanemarena Vizualizacija logova je umjetnost za sebe
  • 8. Vizualizacija logova sigurnost Izuzetno va転an ali zanemaren pristup logovima i radu sa podacima iz sustava Uz malo vje邸tine mo転e se puno postii Improvizacije obini tablini kalkulator mo転e napraviti uda integrirana Osim 邸to jako olak邸ava rad sa podacima, omoguuje i jednostavan prikaz netehnikom osoblju, obino onima koji donose odluke Raffael Marty: Applied Security Visualization, 2008, Addison Veslley ISBN-13: 978-0-321-51010-5
  • 9. Raunalna forenzika sigurnost Vrlo kratko: Osiguravanje i izuzimanje svega 邸to je digitalni dokaz Pronala転enje dokaza i analiza znanstvenom metodom Formalno: integrirana Raunalna forenzika ili digitalna forenzika definira se kao prikupljanje, za邸tita i analiza dokaza u digitalnom obliku Prezentacija digitalnih dokaza kao materijalnih dokaza u kasnijim eventualnim sudskim postupcima..
  • 10. Elementi raunalne forenzike sigurnost Raunalnu forenziku dijelimo na Forenziku raunala Forenziku mre転a (umre転enih sustva) Forenziku logova sustava (system log forensic) integrirana Postoji i podjela na : Proaktivnu forenziku Reaktivnu forenziku (klasina)
  • 11. Raunalna forenzika i forenziko sigurnost znaenje logova To je forenzika logova sustava - system log forensic Analiza zabilje転enih kljunih dogaaja u sistemskim logovima (centraliziranim ili integrirana lokalnim) Osnovna svrha gradnje vremenskog slijeda (timelinea) dogaanja
  • 12. Sustavi za prikupljanje i analizu sigurnost logova Komercijalni ili free te邸ko rei 邸to je bolje Svima isti cilj prikupiti i uvati logove Analizirati logove Prikaz rezultata analiza izvje邸taji integrirana Obino uvjetovani zahtjevima regulatora Odabir alata je kompleksan postupak, postoje kuharice za odabir
  • 13. Forenziki alati i analiza logova sigurnost Analiza logova dio funkcionalnosti alata Podr転ani formati logova rasprostranjenih operacijskih sustava Primjer: Guidance Software Encase integrirana http://www.guidancesoftware.com/ Modul za pronala転enje i analizu windows i unix logova unutar automatske pripreme sluaja Mogu poslu転iti i obini alati za analizu logova bitno je da ne mijenjaju sadr転aj logova
  • 14. Zakljuak sigurnost Bez logova nema forenzike sustava Analiza logova se isplati I u drugim situacijama, tj kad se radi sa logovima treba se postupati in転enjerski pouzdano Artefakti na file sistemu nam omoguuju da vidimo zadnje stanje i vlasni邸tva, integrirana Logovi nam ka転u pro邸lost, tko je i kada je ne邸to promijenio. Da bi logovi bili forenziki korisni moraju biti potpuni i precizni. Navedeni primjeri pokazuju da logovi i njihovo kori邸tenje ima velike potencijalne, ali samo ako ih se obradi, analizira i prika転e na pravi nain i pravim alatima.
  • 15. Korisni linkovi i reference sigurnost Security Log Management, Syngress, Jacob Babbin January 2006, ISBN-13: 978-1-59-749042-9; Short Topics in System Administration Building a Logging Infrastructure, Abe Singer and Tina Bird, USENIX Association, 2004, ISBN 1-931971- 25-0; Crimeware http://en.wikipedia.org/wiki/Crimeware; http://www.sans.org/reading_room/whitepapers/logging/; integrirana "EnCase速 Enterprise", https://www.guidancesoftware.com/; Common Event Expression white paper, http://cee.mitre.org, 2007; Marty, Rafael, Applied security visualization Addsison Wealey 2008, ISBN 0-321-51010-0; David N. Blank-Edelman , "Perl for System Administration", ISBN 1- 56592-609-9, First edition;
  • 16. Pitanja sigurnost Kako vi kod sebe koristite logove ? Da li bi u sluaju incidenta mogli ne邸to izvui iz podataka ? integrirana Pitanja za mene na: damir.delija@insig2.hr