- Parte I – Para iniciantes
- Introdução
- O que, Por que e Como de Logs de Eventos
- Tlogs de Eventos
- Tipos de Logs de Eventos
- Apresentando um Evento
- Como os logs de segurança podem evitar hacks e roubos de dados?
- Eventos que precisam de auditoria e plano de auditoria
- Need for monitoring Event Logs
- Outros links úteis
Parte I – Para iniciantes
Introdução
Este tutorial tem como objetivo ajudá-lo a reforçar a segurança do seu Windows e prevenir proativamente a degradação do desempenho, identificando e monitorando eventos críticos do Windows.
O tutorial é disponibilizado em duas partes, com esta primeira parte focando tópicos focados no que você precisa saber como iniciante sobre Logs de Eventos e porque eles precisam ser assistidos. Se você é um administrador experiente ou um engenheiro de rede, vá para a parte II e aprenda a configurar o monitoramento de Logs de Eventos.
O que, Por que e Como de Logs de Eventos
Event logs são arquivos locais que registram todos os ‘acontecimentos’ no sistema e incluem acesso, exclusão, adição de um arquivo ou aplicativo, modificação da data do sistema, desligamento do sistema, alteração da configuração do sistema, etc. Os eventos são classificados nas categorias Sistema, Segurança, Aplicação, Serviço de Directório, Servidor DNS & DFS Replication. Serviço de Diretório, Servidor DNS & Registros de Replicação da DFS são aplicáveis somente para o Active Directory. Os eventos que estão relacionados com a segurança do sistema ou dos dados são chamados eventos de segurança e seu arquivo de log é chamado Logs de Segurança.
As seções seguintes fornecem mais detalhes sobre os Logs de Eventos do Windows e o que exige seu monitoramento:
- Categorias de Log de Eventos
- Tipos de Log de Eventos
- Entendendo um Evento
- Como os logs de segurança podem prevenir hacks e roubos de dados?
- Eventos que necessitam de auditoria e plano de auditoria
- Need para monitorar Logs de Eventos
- Outros links úteis
Tlogs de Eventos
Os logs de Eventos são amplamente classificados em poucas categorias padrão com base no componente em falha. Os diferentes componentes para os quais os eventos são registrados incluem o sistema, a segurança do sistema, os aplicativos hospedados no sistema, etc. Algumas aplicações registram eventos em uma categoria personalizada em vez de registrá-los na categoria padrão Aplicações.
| Event Log Type | Description |
|---|---|
| Application Log | Any event logged by an application. Estes são determinados pelos desenvolvedores durante o desenvolvimento da aplicação. Por exemplo..: Um erro ao iniciar uma aplicação é registado em Application Log. |
| System Log | Any event logged by the Operating System. Por exemplo..: A falha em iniciar um drive durante a inicialização é registrada em Logs do sistema |
| Log de segurança | Qualquer evento que importe sobre a segurança do sistema. Por exemplo: logins e logoffs válidos e inválidos, qualquer exclusão de arquivo etc. são registrados sob esta categoria. |
| log de serviço de diretório | registros de eventos de AD. Este log está disponível apenas em controladores de domínio. |
| DNS Server log | records events for DNS servers and name resolutions. Este log está disponível apenas para servidores DNS |
| Registro do serviço de replicação de arquivos | recorde eventos de replicação de controladores de domínio Este log está disponível apenas em controladores de domínio. |
Tipos de Logs de Eventos
Cada entrada de evento é classificada por Tipo para identificar a gravidade do evento. Eles são Informação, Aviso, Erro, Auditoria de Sucesso (Security Log) e Auditoria de Falhas (Security Log).
| Event Type | Descrição |
|---|---|
| Informação | Um evento que descreve a operação bem sucedida de uma tarefa, como um aplicativo, driver ou serviço. Por exemplo, um evento de Informação é registrado quando um driver de rede é carregado com sucesso. |
| Aviso | Um evento que não é necessariamente significativo, entretanto, pode indicar a possível ocorrência de um problema futuro. Por exemplo, uma mensagem de aviso é registrada quando o espaço em disco começa a ficar baixo. |
| Error | Um evento que indica um problema significativo, como perda de dados ou perda de funcionalidade. Por exemplo, se um serviço não conseguir carregar durante a inicialização, um evento de Erro é registrado. |
| Success Audit (Security log) | Um evento que descreve a conclusão bem sucedida de um evento de segurança auditado. Por exemplo, um evento de Auditoria de sucesso é registrado quando um usuário efetua login no computador. |
| Failure Audit (Security log) | Um evento que descreve um evento de segurança auditado que não foi concluído com sucesso. Por exemplo, uma Auditoria de falha pode ser registrada quando um usuário não consegue acessar uma unidade de rede. |
O Visualizador de Eventos lista os registros de eventos assim:
Apresentando um Evento
Os eventos são listados com informações de cabeçalho e uma descrição no Visualizador de Eventos.
| Cabeçalho | Descrição |
|---|---|
| Data | A data em que o evento ocorreu |
| Tempo | A hora em que o evento ocorreu |
| Utilizador | O utilizador que iniciou sessão no computador quando o evento ocorreu |
| Computador | O computador onde o evento ocorreu |
| ID do evento | Um número de evento que identifica o tipo de evento. Ajuda a saber mais sobre o evento |
| Fonte | A fonte que gerou o evento. Pode ser uma aplicação ou componente do sistema |
| Type | Type of event (Information, Warning, Error, Success Audit and Failure Audit) |
Douplo clique em um evento para ver os detalhes:
Como os logs de segurança podem evitar hacks e roubos de dados?
A segurança é a maior preocupação que todos os negócios enfrentam hoje em dia. Incidentes como hacks e roubos de dados estão continuamente em ascensão, expondo todos os segmentos do negócio a riscos e deixando os administradores com os olhos vermelhos. Várias pesquisas industriais revelam que a maioria dos hacks e roubos ocorre devido a tentativas ilegais de autenticação. Dito isto, é importante que saibamos o que um sistema operacional pode fornecer por meio de segurança e o que devemos fazer para implementar sistemas operacionais com a segurança necessária.
Eventos que precisam de auditoria e plano de auditoria
Eventos não são registrados por padrão para muitas condições de segurança, o que significa que seus recursos ainda estão expostos aos hacks.Você tem que configurar as políticas de auditoria para auditar os eventos de segurança e registrá-los.Eventos críticos de segurança que precisam de auditoria:
- Logon/logoff do usuário
- Logon/logoff/restart do computador
- Acesso a objetos, arquivos e pastas
- A hora do sistema é modificada
- Logones de auditoria são limpos
Não é necessário configurar todas as políticas de auditoria. Fazê-lo resultaria em logs para cada ação que ocorra e aumentaria o tamanho dos logs. O roll-over dos logs e dependendo do tamanho do roll-over configurado, os logs mais antigos são deletados. A configuração das políticas certas que são realmente críticas para o seu ambiente irá melhorar a segurança.
Auditar eventos críticos são habilitados por padrão para controladores de domínio. Para os outros dispositivos Windows, configure as políticas de auditoria disponíveis em Configurações Locais de Segurança. As políticas de auditoria disponíveis são:
>
- Conta eventos de logon
- Gestão de contas
- Acesso ao serviço de diretórios
- Eventos de logon
- Acesso a objetos
- Mudança de políticas
- Privilege use
- Process tracking
- System events
Need for monitoring Event Logs
Need for monitoring Event Logs
Necessidade de aderir a complementos de segurança como o SOX, HIPAA etc para as empresas de capital aberto, indústria da saúde, etc, requer a implementação de um processo de gestão de segurança para proteger contra tentativas ou acessos não autorizados bem sucedidos. Proteger a informação na sua rede é fundamental para o seu negócio com ou sem ter que cumprir com alguns padrões. O registro de eventos do Windows é uma das fontes através das quais as tentativas de login podem ser rastreadas e registradas. Uma verificação manual em cada dispositivo Windows é tediosa e impossível e garante auditoria e monitoramento automático dos registros de eventos regularmente.
Outros links úteis
Ativar Auditoria de Segurança no Windows
Guia Passo a Passo da Política de Auditoria de Segurança Avançada
Próximo : Parte II