[Перевод] Чек-лист по анализу логов событий безопасности

Habrahabr

Сегодня тема мониторинга IT – инфраструктуры и анализа логов набирает все большую и большую популярность. В первую очередь все задумываются о мониторинге событий безопасности, о чем и будет идти речь в данной статье. Несмотря на то, что на эту тему сказано и написано уже довольно много, вопросов возникает еще больше. И поэтому мы решили сделать перевод статьи «Сritical Log Review Checklist for Security Incidents», написанную Anton Chuvakin и Lenny Zeltser, которая будет полезна как для тех, кто только начинает работать с мониторингом событий безопасности, так и для тех, кто имеет с этим дело довольно давно, чтобы еще раз проверить себя, не упускаете ли вы некоторые возможности.

В этом чек-листе представлены действия, которые необходимы, если вы хотите мониторить логи систем безопасности и оперативно реагировать на инциденты безопасности, а также перечень возможных источников и событий, которые могут представлять интерес для анализа.

Общая схема действия

  1. Определите, какие источники журналов и автоматизированные инструменты можно использовать для анализа
  2. Скопируйте записи журнала в одно место, где вы сможете все их просмотреть и обработать
  3. Создайте правила определения того, что события являются необходимыми вам, чтобы в автоматическом режиме уменьшать «зашумленность» логов
  4. Определите, можно ли полагаться на метки времени журналов; рассмотрите различия часовых поясов
  5. Обратите внимание на последние изменения, сбои, ошибки, изменения состояния, доступ и другие события, необычные для вашей IT-среды
  6. Изучите историю событий, чтобы восстановить действия до и после инцидента
  7. Сопоставьте действия в разных журналах, чтобы получить полную картину
  8. Сформируйте гипотезу о том, что произошло; изучите журналы, чтобы подтвердить или опровергнуть её

Потенциальные источники логов безопасности

  • Журналы операционной системы серверов и рабочих станций
  • Журналы приложений (например, веб-сервер, сервер баз данных)
  • Журналы инструментов безопасности (например, антивирус, инструменты обнаружения изменений, системы обнаружения/предотвращения вторжений)
  • Исходящие журналы прокси-сервера и журналы приложений конечных пользователей
  • Не забудьте также рассмотреть другие источники событий безопасности, не входящие в журналы.

Стандартное расположение логов

  • Операционная система Linux и основные приложения: /var/log
  • Операционная система Windows и основные приложения: Windows Event Log (Security, System, Application)
  • Сетевые устройства: обычно регистрируются через syslog; некоторые используют собственное расположение и форматы

Что искать в логах Linux

Событие Пример записи в логах
Успешный вход «Accepted password», «Accepted publickey», «session opened»
Неудачные попытки входа «authentication failure», «failed password»
Завершение сессии «session closed»
Изменение аккаунта «password changed», «new user», «delete user»
Действия Sudo «sudo:… COMMAND=...», «FAILED su»
Сбои в работе «failed» или «failure»

Что искать в логах Windows

Идентификаторы событий перечислены ниже для Windows 2008 R2 и 7, Windows 2012 R2 и 8.1, Windows 2016 и 10. (В оригинальной статье используются в основном идентификаторы для Windows 2003 и раньше, которые можно получить, отняв 4096 от значений указанных ниже EventID).

Большинство событий, приведенных ниже, находятся в журнале безопасности (Windows Event Log: Security), но некоторые регистрируются только на контроллере домена.

Тип события EventID
События входа и выхода Successful logon 4624; failed logon 4625; logoff 4634, 4647 и т.д.
Изменение аккаунта Created 4720; enabled 4726; changed 4738; disabled 4725; deleted 630
Изменение пароля 4724, 4723
Запуск и прекращение работы сервисов 7035,7036, и т.д.
Доступ к объектам 4656, 4663

Что искать в логах сетевых устройств

Изучите входящие и исходящие действия ваших сетевых устройств.

Примеры ниже – это выдержки из логов Cisco ASA, но другие устройства имеют схожую функциональность.

Трафик, допущенный файерволом «Built… connection» «access-list… permitted»
Трафик, заблокированный файерволом «access-list… denied», «deny Inbound»; «Deny ...by»
Объем трафика (в байтах) «Teardown TCP connection… duration… bytes...»
Использование каналов и протоколов «limit… exceeded», «CPU utilization»
Обнаружение атаки «attack from»
Изменение аккаунта «user added», «user deleted», «User priv level changed»
Доступ администратора «AAA user...», «User… locked out», «login failed»

Что искать в логах веб-сервера

  • Чрезмерные попытки доступа к несуществующим файлам
  • Код (SQL, HTML), как часть URL-адреса
  • Доступ к расширениям, которые вы не устанавливали
  • Сообщения об остановке/запуске/сбое веб-службы
  • Доступ к «рискованным» страницам, которые принимают пользовательский ввод данных
  • Код ошибки 200 (успешный запрос) на файлах, которые не принадлежат вам
  • Ошибка аутентификации: Код ошибки 401,403
  • Неверный запрос: Код ошибки 400
  • Внутренняя ошибка сервера: Код ошибки 500

Полезные ссылки

Примеры событий Windows по каждому EventID: EventID.Net Справочник событий журнала безопасности Windows: Windows Security Log Encyclopedia Список инструментов анализа журналов: Best Log Management Tools Другие «шпаргалки», связанные с реагированием на инциденты безопасности в блоге одного из авторов оригинальной статьи: IT and Information Security Cheat Sheets

Если вам интересна эта тема, то пишите комментарии, мы будем рады вам ответить. Подписывайтесь в нашу группу VK и канал Telegram, если хотите быть в курсе новых статей.