Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Hogyan (mivel és mit) naplózzunk? Győri Gábor Terméktámogatási tanácsadó.

Hasonló előadás


Az előadások a következő témára: "Hogyan (mivel és mit) naplózzunk? Győri Gábor Terméktámogatási tanácsadó."— Előadás másolata:

1 Hogyan (mivel és mit) naplózzunk? Győri Gábor Terméktámogatási tanácsadó

2 Miért kell a naplózás? Proaktív Proaktív Reaktív Reaktív Bizonyíték Bizonyíték

3 Monitorozás Megmutatja a normálistól eltérő vagy gyanús viselkedést Megmutatja a normálistól eltérő vagy gyanús viselkedést Házirend a monitorozásra: Házirend a monitorozásra:  Normál működés (Baseline)  Auditálandó objektumok  Események  Eseménynapló kezelése  Monitorozási technológiák  Kihatások a rendszerre

4 Beépített eszközök Eseménynapló (auditálás) Eseménynapló (auditálás) Performance Monitor Performance Monitor Simple Network Management Protocol (SNMP) Simple Network Management Protocol (SNMP) Windows Management Instrumentation (WMI) Windows Management Instrumentation (WMI)

5 Eseménynapló Event Viewer Event Viewer  Mérete  Helye  Felülírásra vonatkozó beállítások  Crash on Audit Fail Események elemzése Események elemzése  Shutdown Event Tracker (W2K3, XP)  Uptime.exe Q (NT4 SP4+, W2K)

6 Az Audit Policy monitorozása A security policyt az LSA kontrollálja A security policyt az LSA kontrollálja Figyeljük az audit policy változásait Figyeljük az audit policy változásait  Okozhatja rosszindulatú adminisztrátor is Felhasználó alapú monitorozás Felhasználó alapú monitorozás A Naming Context gyökerében állítsuk be az audit policyt A Naming Context gyökerében állítsuk be az audit policyt

7 Process és alkalmazás monitorozás – csak ha indokolt Process Process  Process Tracking  Process ID  Rengeteg eseményt generál Alkalmazás Alkalmazás  Alkalmazás napló (Event logban)  Az alkalmazás saját naplói

8 Objektumok monitorozása Auditálás – objektum és hozzáférés alapú Auditálás – objektum és hozzáférés alapú  Objektumok, amiket érdemes figyelni: Objektumok, amiket érdemes figyelni:  Files and Directories  Registry  Services  Kernel Objects  Directory Services Objects  Printers Handles Handles  Hozzáférési kísérletek

9 A felhasználói tevékenység monitorozása Logon Logon Account Logon Account Logon  Account Lockout Privilege Use (felhasználói jogok) Privilege Use (felhasználói jogok)

10 Az Administrative Authority monitorozása Felhasználói adatok kezelése Felhasználói adatok kezelése Directory Services hozzáférés Directory Services hozzáférés A SAM alacsony szintű monitorozása A SAM alacsony szintű monitorozása

11 EventCombMT

12 LogParser SQL tábla feltöltése lekérdezés és elemzés céljából SQL tábla feltöltése lekérdezés és elemzés céljából lyid=8cde4028-e247-45be-bab9-ac851fc166a4 lyid=8cde4028-e247-45be-bab9-ac851fc166a4 lyid=8cde4028-e247-45be-bab9-ac851fc166a4 lyid=8cde4028-e247-45be-bab9-ac851fc166a4

13 Intrusion Detection Footprinting (szerver és hálózat) Footprinting (szerver és hálózat) Jellemzők Jellemzők  Események figyelése  Események gyűjtése és elemzése  Válaszreakciók Szignatúrák Szignatúrák Riasztások Riasztások Honeypot - Virtual PC Honeypot - Virtual PC Feldolgozásigényes Feldolgozásigényes Néha „farkast kiált” Néha „farkast kiált” Más gyanús jelek Más gyanús jelek  Növekszik a hálózati forgalom  Több rossz csomag  Hamisított csomagok  Váratlan rebootok Például: snort

14 Internet Security & Acceleration Server Az jól ismert biztonsági résekre odafigyel Az jól ismert biztonsági résekre odafigyel IP szint IP szint  Windows out-of-band  Land attack  Ping of death  Port scan  IP half scan  UDP bomb Alkalmazás szint Alkalmazás szint  DNS  DNS hostname overflow  DNS length overflow  DNS zone transfer from privileged ports (1-1024)  DNS zone transfer from high ports (above 1024)  POP

15 Security Management eszközök Elemzés Elemzés  Microsoft Baseline Security Analyser (MBSA)  Systems Management Server (SMS)  Software Update Services Feature Pack  Microsoft Software Update Services (MSUS)  Security Configuration and Analysis snap-in  RSoP Management Management  Group Policy Management Console (GPMC)  Microsoft Operations Manager (MOM)  Systems Management Server (SMS)  Software Update  Feature Pack  Microsoft Software Update Services (MSUS)  ISA Server

16 Olvasnivalók Windows 2000 Server: Windows 2000 Server: Windows XP: Windows XP: Best Practices for Enterprise Security Best Practices for Enterprise Security Securing Windows 2000 Server- Auditing and Intrusion Detection Securing Windows 2000 Server- Auditing and Intrusion Detection ”CSI/FBI Computer Crimes and Security Survey 2003”, available from The Computer Security Institute: ”CSI/FBI Computer Crimes and Security Survey 2003”, available from The Computer Security Institute: The SANS Institute (System Administration, Networking, and Security) Institute: The SANS Institute (System Administration, Networking, and Security) Institute: The 10 Immutable Laws of Security: The 10 Immutable Laws of Security:


Letölteni ppt "Hogyan (mivel és mit) naplózzunk? Győri Gábor Terméktámogatási tanácsadó."

Hasonló előadás


Google Hirdetések