- Partea I – Pentru începători
- Introducere
- Ce, de ce și cum despre Event Logs
- Categorii de jurnale de evenimente
- Tipuri de jurnale de evenimente
- Înțelegerea unui eveniment
- Cum pot jurnalele de securitate să prevină hack-urile și furturile de date?
- Evenimentele care au nevoie de audit și planul de audit
- Nevoia de monitorizare a jurnalelor de evenimente
- Alte linkuri utile
Partea I – Pentru începători
Introducere
Acest tutorial are scopul de a vă ajuta să vă întăriți securitatea Windows și să preveniți proactiv degradarea performanței prin identificarea și monitorizarea evenimentelor critice Windows.
Tutorialul este pus la dispoziție în două părți, această primă parte acoperind subiecte axate pe ceea ce trebuie să știți ca începător despre jurnalele de evenimente și de ce trebuie să fie supravegheate. Dacă sunteți un administrator experimentat sau un inginer de rețea, treceți la partea a II-a și învățați să configurați monitorizarea Event Logs.
Ce, de ce și cum despre Event Logs
Event Logs sunt fișiere locale care înregistrează toate „întâmplările” de pe sistem și include accesarea, ștergerea, adăugarea unui fișier sau a unei aplicații, modificarea datei sistemului, oprirea sistemului, modificarea configurației sistemului, etc. Evenimentele sunt clasificate în categoriile System, Security, Application, Directory Service, DNS Server & DFS Replication. Jurnalele Directory Service, DNS Server & DFS Replication se aplică numai pentru Active Directory. Evenimentele care sunt legate de securitatea sistemului sau a datelor se numesc evenimente de securitate, iar fișierul jurnal al acestora se numește jurnale de securitate.
Secțiunile următoare oferă mai multe detalii despre jurnalele de evenimente Windows și despre ceea ce impune monitorizarea acestora:
- Categorii de jurnale de evenimente
- Tipuri de jurnale de evenimente
- Înțelegerea unui eveniment
- Cum pot jurnalele de securitate să prevină hacking-urile și furturile de date?
- Evenimentele care necesită audit și planul de audit
- Nevoia de monitorizare a jurnalelor de evenimente
- Alte linkuri utile
Categorii de jurnale de evenimente
Jurnalele de evenimente sunt clasificate, în linii mari, în câteva categorii implicite, în funcție de componenta aflată în neregulă. Diferitele componente pentru care se înregistrează evenimente includ sistemul, securitatea sistemului, aplicațiile găzduite pe sistem etc. Unele aplicații înregistrează evenimentele într-o categorie personalizată în loc să le înregistreze în categoria implicită Applications.
| Event Log Type | Description |
|---|---|
| Application Log | Care eveniment înregistrat de o aplicație. Acestea sunt determinate de către dezvoltatori în timpul dezvoltării aplicației. De ex: O eroare la pornirea unei aplicații este înregistrată în jurnalul aplicației. |
| System Log | Care eveniment înregistrat de sistemul de operare. De ex: Eșecul pornirii unei unități în timpul pornirii este înregistrat în Jurnal de sistem |
| Jurnal de securitate | Care eveniment care contează despre securitatea sistemului. De ex.: conectările și deconectările valide și invalide, orice ștergere de fișiere etc. sunt înregistrate în această categorie. |
| Directory Service log | înregistrează evenimentele din AD. Acest jurnal este disponibil numai pe controlorii de domeniu. |
| DNS Server log | înregistrează evenimentele pentru serverele DNS și rezoluțiile de nume. Acest jurnal este disponibil numai pentru serverele DNS |
| Jurnalul serviciului de replicare a fișierelor | înregistrează evenimentele de replicare a controlorilor de domeniu Acest jurnal este disponibil numai pe controlorii de domeniu. |
Tipuri de jurnale de evenimente
Care intrare de eveniment este clasificată după Tip pentru a identifica gravitatea evenimentului. Acestea sunt Informații, Avertizare, Eroare, Audit de succes (jurnal de securitate) și Audit de eșec (jurnal de securitate).
| Tipul evenimentului | Descriere |
|---|---|
| Informație | Un eveniment care descrie funcționarea cu succes a unei sarcini, cum ar fi o aplicație, un driver sau un serviciu. De exemplu, un eveniment Informație este înregistrat atunci când un driver de rețea se încarcă cu succes. |
| Avertizare | Un eveniment care nu este neapărat semnificativ, însă poate indica posibila apariție a unei probleme viitoare. De exemplu, un mesaj de avertizare este înregistrat atunci când spațiul pe disc începe să scadă. |
| Error | Un eveniment care indică o problemă semnificativă, cum ar fi pierderea de date sau pierderea funcționalității. De exemplu, dacă un serviciu nu reușește să se încarce în timpul pornirii, se înregistrează un eveniment Error (Eroare). |
| Succes Audit (jurnal de securitate) | Un eveniment care descrie finalizarea cu succes a unui eveniment de securitate auditat. De exemplu, un eveniment Audit de succes este înregistrat atunci când un utilizator se conectează la computer. |
| Failure Audit (Security log) | Un eveniment care descrie un eveniment de securitate auditat care nu s-a finalizat cu succes. De exemplu, un Audit de eșec poate fi înregistrat atunci când un utilizator nu poate accesa o unitate de rețea. |
Vizualizatorul de evenimente listează jurnalele de evenimente astfel:
Înțelegerea unui eveniment
Evenimentele sunt listate cu informații despre antet și o descriere în Vizualizatorul de evenimente.
| Header | Description |
|---|---|
| Date | Data la care a avut loc evenimentul |
| Time | Ora la care a avut loc evenimentul |
| User | Utilizatorul care s-a conectat la computer când a avut loc evenimentul |
| Computer | Computerul unde a avut loc evenimentul |
| Event ID | Un număr de eveniment care identifică tipul de eveniment. Ajută la aflarea mai multor informații despre eveniment |
| Sursa | Sursa care a generat evenimentul. Ar putea fi o aplicație sau o componentă de sistem |
| Tip | Tip de eveniment (Information, Warning, Error, Success Audit și Failure Audit) |
Click dublu pe un eveniment pentru a vedea detaliile:
Cum pot jurnalele de securitate să prevină hack-urile și furturile de date?
Securitatea este cea mai mare preocupare cu care se confruntă orice afacere în prezent. Incidentele precum hack-urile și furturile de date sunt în continuă creștere, expunând toate segmentele de afaceri la riscuri și lăsându-i pe administratori cu ochii roșii. Diverse cercetări industriale relevă faptul că majoritatea hackerilor și furturilor au loc din cauza încercărilor de autentificare ilegale. Auditul încercărilor de autentificare ilegale sau eșuate ar putea preveni (sau reduce) furturile de date.Acestea fiind spuse, este important să știm ce poate oferi un sistem de operare în materie de securitate și ce trebuie să facem pentru a implementa sisteme de operare cu securitatea necesară.
Evenimentele care au nevoie de audit și planul de audit
Evenimentele nu sunt înregistrate în mod implicit pentru multe condiții de securitate, ceea ce înseamnă că resursele dvs. sunt în continuare expuse la hack-uri.Trebuie să configurați politici de audit pentru a audita evenimentele de securitate și a le înregistra.Evenimente de securitate critice care necesită auditare:
- Conectarea/închiderea utilizatorului
- conectarea/închiderea/ repornirea calculatorului
- Accesul la obiecte, fișiere și dosare
- Se modifică ora sistemului
- Se șterg jurnalele de audit
Nu este necesar să configurați toate politicile de audit. Dacă se face acest lucru, ar rezulta o înregistrare pentru fiecare acțiune care are loc și va crește dimensiunea jurnalului. Jurnalele se rostogolesc și, în funcție de dimensiunea de rostogolire configurată, jurnalele mai vechi sunt șterse. Configurarea politicilor corecte care sunt cu adevărat critice pentru mediul dumneavoastră va îmbunătăți securitatea.
Auditul evenimentelor critice este activat în mod implicit pentru controlorii de domeniu. Pentru celelalte dispozitive Windows, configurați politicile de audit disponibile în Local Security Settings (Setări locale de securitate). Politicile de audit disponibile sunt:
- Evenimentele de conectare a conturilor
- Gestionarea conturilor
- Accesul la servicii directoare
- Evenimentele de conectare
- Accesul la obiecte
- Schimbarea politicilor
- Utilizarea privilegiilor
- Dezvăluirea proceselor
- Evenimente de sistem
.
Nevoia de monitorizare a jurnalelor de evenimente
Nevoia de a adera la conformitățile de securitate, cum ar fi SOX, HIPAA etc. pentru companiile cotate la bursă, industria de sănătate etc., necesită implementarea unui proces de gestionare a securității pentru a se proteja împotriva tentativelor de acces neautorizat sau a succesului. Securizarea informațiilor din rețeaua dvs. este esențială pentru afacerea dvs., cu sau fără obligația de a respecta anumite standarde. Jurnalele de evenimente Windows reprezintă una dintre sursele cu ajutorul cărora pot fi urmărite și înregistrate încercările de conectare. O verificare manuală pe fiecare dispozitiv Windows este anevoioasă și imposibilă și justifică auditul și monitorizarea automată a jurnalelor de evenimente în mod regulat.
Alte linkuri utile
Activarea auditului de securitate în Windows
Ghidul pas cu pas al politicii avansate de audit de securitate
În continuare : Partea a II-a
.