Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Hogyan (mivel és mit) naplózzunk? Győri Gábor Terméktámogatási tanácsadó.

Hasonló előadás


Az előadások a következő témára: "Hogyan (mivel és mit) naplózzunk? Győri Gábor Terméktámogatási tanácsadó."— Előadás másolata:

1 Hogyan (mivel és mit) naplózzunk? Győri Gábor Terméktámogatási tanácsadó

2 Miért kell a naplózás? Proaktív Proaktív Reaktív Reaktív Bizonyíték Bizonyíték

3 Monitorozás Megmutatja a normálistól eltérő vagy gyanús viselkedést Megmutatja a normálistól eltérő vagy gyanús viselkedést Házirend a monitorozásra: Házirend a monitorozásra:  Normál működés (Baseline)  Auditálandó objektumok  Események  Eseménynapló kezelése  Monitorozási technológiák  Kihatások a rendszerre

4 Beépített eszközök Eseménynapló (auditálás) Eseménynapló (auditálás) Performance Monitor Performance Monitor Simple Network Management Protocol (SNMP) Simple Network Management Protocol (SNMP) Windows Management Instrumentation (WMI) Windows Management Instrumentation (WMI)

5 Eseménynapló Event Viewer Event Viewer  Mérete  Helye  Felülírásra vonatkozó beállítások  Crash on Audit Fail Események elemzése Események elemzése  Shutdown Event Tracker (W2K3, XP)  Uptime.exe Q232243 (NT4 SP4+, W2K)

6 Az Audit Policy monitorozása A security policyt az LSA kontrollálja A security policyt az LSA kontrollálja Figyeljük az audit policy változásait Figyeljük az audit policy változásait  Okozhatja rosszindulatú adminisztrátor is Felhasználó alapú monitorozás Felhasználó alapú monitorozás A Naming Context gyökerében állítsuk be az audit policyt A Naming Context gyökerében állítsuk be az audit policyt

7 Process és alkalmazás monitorozás – csak ha indokolt Process Process  Process Tracking  Process ID  Rengeteg eseményt generál Alkalmazás Alkalmazás  Alkalmazás napló (Event logban)  Az alkalmazás saját naplói

8 Objektumok monitorozása Auditálás – objektum és hozzáférés alapú Auditálás – objektum és hozzáférés alapú  www.microsoft.com/technet/security/bestprac/bpent/sec3/monito.asp www.microsoft.com/technet/security/bestprac/bpent/sec3/monito.asp Objektumok, amiket érdemes figyelni: Objektumok, amiket érdemes figyelni:  Files and Directories  Registry  Services  Kernel Objects  Directory Services Objects  Printers Handles Handles  Hozzáférési kísérletek

9 A felhasználói tevékenység monitorozása Logon Logon Account Logon Account Logon  Account Lockout Privilege Use (felhasználói jogok) Privilege Use (felhasználói jogok)

10 Az Administrative Authority monitorozása Felhasználói adatok kezelése Felhasználói adatok kezelése Directory Services hozzáférés Directory Services hozzáférés A SAM alacsony szintű monitorozása A SAM alacsony szintű monitorozása

11 EventCombMT www.microsoft.com/technet/security/tools.asp

12 LogParser SQL tábla feltöltése lekérdezés és elemzés céljából SQL tábla feltöltése lekérdezés és elemzés céljából http://www.microsoft.com/downloads/details.aspx?displaylang=en&fami lyid=8cde4028-e247-45be-bab9-ac851fc166a4 http://www.microsoft.com/downloads/details.aspx?displaylang=en&fami lyid=8cde4028-e247-45be-bab9-ac851fc166a4 http://www.microsoft.com/downloads/details.aspx?displaylang=en&fami lyid=8cde4028-e247-45be-bab9-ac851fc166a4 http://www.microsoft.com/downloads/details.aspx?displaylang=en&fami lyid=8cde4028-e247-45be-bab9-ac851fc166a4

13 Intrusion Detection Footprinting (szerver és hálózat) Footprinting (szerver és hálózat) Jellemzők Jellemzők  Események figyelése  Események gyűjtése és elemzése  Válaszreakciók Szignatúrák Szignatúrák Riasztások Riasztások Honeypot - Virtual PC Honeypot - Virtual PC Feldolgozásigényes Feldolgozásigényes Néha „farkast kiált” Néha „farkast kiált” Más gyanús jelek Más gyanús jelek  Növekszik a hálózati forgalom  Több rossz csomag  Hamisított csomagok  Váratlan rebootok Például: snort http://www.snort.org/dl/binaries/win32/ http://www.snort.org/dl/binaries/win32/

14 Internet Security & Acceleration Server Az jól ismert biztonsági résekre odafigyel Az jól ismert biztonsági résekre odafigyel IP szint IP szint  Windows out-of-band  Land attack  Ping of death  Port scan  IP half scan  UDP bomb Alkalmazás szint Alkalmazás szint  DNS  DNS hostname overflow  DNS length overflow  DNS zone transfer from privileged ports (1-1024)  DNS zone transfer from high ports (above 1024)  POP

15 Security Management eszközök Elemzés Elemzés  Microsoft Baseline Security Analyser (MBSA)  Systems Management Server (SMS)  Software Update Services Feature Pack  Microsoft Software Update Services (MSUS)  Security Configuration and Analysis snap-in  RSoP Management Management  Group Policy Management Console (GPMC)  Microsoft Operations Manager (MOM)  Systems Management Server (SMS)  Software Update  Feature Pack  Microsoft Software Update Services (MSUS)  ISA Server

16 Olvasnivalók Windows 2000 Server: www.microsoft.com/windows2000/en/server/help/els_start_security_log.htm Windows 2000 Server: www.microsoft.com/windows2000/en/server/help/els_start_security_log.htm www.microsoft.com/windows2000/en/server/help/els_start_security_log.htm Windows XP: www.microsoft.com/windowsxp/home/using/productdoc/en/hnw_enable_security_logging.asp Windows XP: www.microsoft.com/windowsxp/home/using/productdoc/en/hnw_enable_security_logging.asp www.microsoft.com/windowsxp/home/using/productdoc/en/hnw_enable_security_logging.asp www.microsoft.com/windowsxp/home/using/productdoc/en/hnw_enable_security_logging.asp Best Practices for Enterprise Security Best Practices for Enterprise Security http://www.microsoft.com/technet/archive/security/bestprac/bpent/bpentsec.asp http://www.microsoft.com/technet/archive/security/bestprac/bpent/bpentsec.asp http://www.microsoft.com/technet/archive/security/bestprac/bpent/bpentsec.asp http://www.winnetmag.com/WindowsSecurity/ http://www.winnetmag.com/WindowsSecurity/ http://www.winnetmag.com/WindowsSecurity/ Securing Windows 2000 Server- Auditing and Intrusion Detection Securing Windows 2000 Server- Auditing and Intrusion Detection http://www.microsoft.com/technet/security/prodtech/win2000/secwin2k/09detect.asp http://www.microsoft.com/technet/security/prodtech/win2000/secwin2k/09detect.asp http://www.microsoft.com/technet/security/prodtech/win2000/secwin2k/09detect.asp ”CSI/FBI Computer Crimes and Security Survey 2003”, available from The Computer Security Institute: http://www.gocsi.com/ ”CSI/FBI Computer Crimes and Security Survey 2003”, available from The Computer Security Institute: http://www.gocsi.com/http://www.gocsi.com/ The SANS Institute (System Administration, Networking, and Security) Institute: http://www.sans.org The SANS Institute (System Administration, Networking, and Security) Institute: http://www.sans.orghttp://www.sans.org The 10 Immutable Laws of Security: http://www.microsoft.com/TechNet/security/10imlaws.asp The 10 Immutable Laws of Security: http://www.microsoft.com/TechNet/security/10imlaws.asp http://www.microsoft.com/TechNet/security/10imlaws.asp


Letölteni ppt "Hogyan (mivel és mit) naplózzunk? Győri Gábor Terméktámogatási tanácsadó."

Hasonló előadás


Google Hirdetések