あなたは侵入者を捕まえるために前もって計画する必要があります
うまくいけば、コンピュータをパッチして更新して、ネットワークを安全に保つことができます。 ただし、 ウイルス 、 ワーム 、 トロイの木馬 、ハック攻撃など、悪意のある行為が発生することは避けられません。 そのような状況が発生した場合、攻撃の前に正しいことをしていれば、攻撃がいつどのように成功したかを判断する作業を簡単に行うことができます。
テレビ番組のCSIやその他の警察や法的テレビ番組を見たことがあるなら、捜査官は最も細密な法医学的証拠があっても、犯罪者を特定し、追跡し捕まえることができます。
しかし、彼らが実際に加害者に属している髪を見つけるために繊維をふるい落とす必要がなく、その所有者を特定するDNA検査をしなければ、それは素晴らしいことではないでしょうか? 連絡が取られた各人に記録が残っていた場合はいつですか? その人に何が行われたか記録が残っていたらどうなりますか?
そのような場合は、 CSIのような調査官が不在になる可能性があります。 警察は遺体を見つけ、記録が最後に死人と連絡を取り合ったことを確認し、何が行われたかを確認し、掘り起こすことなく身元を確認します。 これは、コンピュータやネットワークに悪意のある行為があったときに、フォレンジックの証拠を提供するという観点から、ロギングが提供するものです。
ネットワーク管理者がロギングを有効にしない、または正しいイベントを記録しない場合、不正アクセスやその他の悪意のある行為の日時や方法を特定する法医学的証拠を掘り起こすことは、ヘイスタック。 多くの場合、攻撃の根本原因は発見されません。 ハッキングされたマシンや感染したマシンはきれいになっていて、最初にヒットしたときよりもシステムが保護されているかどうかは本当に分かりません。
一部のアプリケーションは、デフォルトで物事を記録します。 IISやApacheなどのWebサーバーは、一般にすべての着信トラフィックをログに記録します。 これは主に、Webサイトを訪問した人の数、使用したIPアドレス 、およびWebサイトに関するその他のメトリックタイプの情報を表示するために使用されます。 しかし、CodeRedやNimdaのようなワームの場合、成功したかどうかにかかわらずログに表示される特定のコマンドがあるため、感染したシステムがシステムにアクセスしようとしたときにWebログに表示されることもあります。
システムによっては、さまざまな監査機能とロギング機能が組み込まれています。また、追加のソフトウェアをインストールして、コンピュータ上のさまざまなアクションを監視してログに記録することもできます(この記事の右側にあるリンクボックスのツールを参照)。 Windows XP Professionalマシンでは、アカウントログオンイベント、アカウント管理、ディレクトリサービスアクセス、ログオンイベント、オブジェクトアクセス、ポリシー変更、特権使用、プロセストラッキング、およびシステムイベントを監査するオプションがあります。
これらのそれぞれについて、成功、失敗、または何もログに記録することを選択できます。 例としてWindows XP Proを使用すると、オブジェクトアクセスのログを有効にしなかった場合、ファイルまたはフォルダが最後にアクセスされた日時が記録されません。 障害ログだけを有効にした場合、誰かがファイルまたはフォルダにアクセスしようとしたときに、適切な権限または許可がないために失敗したレコードがありますが、許可されたユーザーがファイルまたはフォルダにアクセスしたとき。
ハッカーがクラックされたユーザー名とパスワードを使用している可能性があるため、ファイルに正常にアクセスできる可能性があります。 ログを表示し、ボブ・スミスが日曜日の午前3時に会社の財務諸表を削除したのを見ると、ボブ・スミスが眠っていて、おそらく彼のユーザー名とパスワードが侵害されていると想定するのは安全かもしれません。 いずれにしても、ファイルに何が起こったのかを今すぐに知ることができ、いつどのように起こったのかを調査するための出発点となります。
失敗と成功の両方のロギングは有用な情報と手がかりを与えることができますが、システムのパフォーマンスと監視とログの活動のバランスをとる必要があります。 上の人間の本の例を使って、人々が連絡を取った人と対話の間に何が起こったのかを記録しておけば、調査員の助けになるでしょう。
あなたが一日中出会ったたびに誰が、何を、何時に停止して書き留めなければならなかったら、それはあなたの生産性に重大な影響を与えるかもしれません。 同じことは、コンピュータの動作を監視して記録することにも当てはまります。 起こりうるすべての失敗と成功のロギングオプションを有効にすることができ、コンピュータで行われているすべてのものの非常に詳細な記録が得られます。 しかし、誰かがボタンを押すかマウスをクリックするたびに、プロセッサはログに100種類のエントリを記録しているため、パフォーマンスに重大な影響を与えます。
どのようなログがシステムパフォーマンスへの影響に有益であろうかを検討し、最適なバランスを考え出す必要があります。 また、多くのハッカーツールやSub7などのトロイの木馬プログラムには、ログファイルを変更して自分の行動を隠蔽し、侵入を隠すことができるユーティリティが含まれているため、ログファイルに100%頼ることはできません。
ロギングを設定する際に、特定の事項を考慮して、パフォーマンスの問題やハッカーツールの隠蔽に関する問題を回避できます。 ログファイルの容量を測定し、最初に十分なディスク容量があることを確認する必要があります。 また、古いログを上書きまたは削除するか、毎日、毎週、またはその他の定期的なログにログをアーカイブして、古いデータも参照できるようにするためのポリシーを設定する必要があります。
専用のハードドライブやハードドライブコントローラを使用することができれば、ドライブにアクセスするために実行しようとしているアプリケーションと対戦することなく、ログファイルをディスクに書き込むことができるため、パフォーマンスの低下が少なくなります。 ログファイルを別のコンピュータに転送することができれば、ログファイルを保存することや、完全に異なるセキュリティ設定を使用することができます。侵入者がログファイルを変更または削除することをブロックする可能性があります。
最後の注意点は、ログが表示される前に、システムがすでにクラッシュしているか、セキュリティ侵害されているかどうかを確認することです。 定期的にログを確認して、何が正常であるかを知り、ベースラインを確立するのが最善です。 そうすれば、間違ったエントリを見つけたときには、そのように認識することができ、遅すぎるとフォレンジック調査を行うよりも、システムを強化するための積極的な措置を取ることができます。