Por Geovane Oliveira, Analista de SI na Kryptus

Coleta de logs para análise forense: entenda os conceitos e formas de análise para evitar perda de informações importantes. 

A coleta de logs de máquinas custodiadas desempenha um papel fundamental na análise forense, permitindo aos investigadores obter informações cruciais sobre atividades suspeitas ou incidentes de segurança. Neste artigo, exploraremos a importância da coleta de logs com segurança, os principais tópicos relacionados e as melhores práticas a serem seguidas.

O que são logs e máquinas custodiadas e por que são importantes na análise forense?

Os logs são registros detalhados de eventos, atividades e transações ocorridas em um sistema ou aplicativo. Eles fornecem um histórico valioso para identificar comportamentos maliciosos, rastrear ações de usuários e reconstruir incidentes. Os logs podem incluir informações como data e hora, endereços IP, ações executadas e erros encontrados, logins, logouts e acesso a arquivos.

exemplo event viewr 1

1-Figura: Exemplo Event viewer

Uma máquina custodiada é uma máquina usada para armazenar e processar informações confidenciais. Essas informações podem incluir dados financeiros, dados de clientes ou dados de propriedade intelectual. A máquina custodiada deve ser protegida contra acesso não autorizado, alteração e destruição. Abaixo, o processo da cadeia de custódia:

processo cadeia custodia 1

2-Figura:Processo da Cadeia de custódia (Máquina custodiada)

Uma máquina custodiada para análise forense é um computador ou dispositivo o qual contém informações, arquivos e metadados que ficam reservados para análise futura. Essas evidências podem ser usadas para investigar crimes ou incidentes de segurança.

Existem alguns perigos que podem levar à perda de logs em uma máquina custodiada. Esses perigos incluem:

  • Falha de hardware: A máquina custodiada pode falhar, levando à perda dos logs
  • Atividade maliciosa: Um invasor pode apagar os logs ou corrompê-los
  • Erro humano: Um usuário pode excluir acidentalmente os logs ou alterá-los

Para evitar a perda de logs, é importante tomar algumas medidas de precaução. Essas medidas incluem:

  • Coletar e armazenar os logs de forma segura: os logs devem ser armazenados em um local seguro que seja protegido contra acesso não autorizado
  • Fazer backup dos logs: os logs devem ser feitos backup regularmente para que possam ser restaurados em caso de perda
  • Monitorar os logs:os logs devem ser monitorados regularmente para detectar atividades suspeitas
  • Máquinas custodiadas: deve-se evitar ao máximo a manipulação e utilização de máquinas custodiadas, pois o uso excessivo pode acarretar em sobrescrever informações no disco, comprometendo assim informações importantes. 

Ao tomar essas medidas, você pode ajudar a proteger os logs de uma máquina custodiada contra perda.

A coleta e análise de logs de máquinas custodiadas é uma parte importante de qualquer investigação forense. Os logs fornecem informações valiosas que podem ser usadas para identificar a causa de um incidente, rastrear o movimento de um invasor e reunir evidências para um processo criminal.

Tipos comuns de logs em máquinas custodiadas

Entre os tipos de logs existentes, os principais são: 

– Logs do sistema operacional: registram eventos relacionados ao funcionamento do sistema operacional, como inicialização, desligamento, alterações de configuração e erros.

– Logs de segurança: rastreiam atividades relacionadas à segurança, como tentativas de login, falhas de autenticação e alterações nos privilégios do usuário.

– Logs de aplicativos: registram eventos específicos de aplicativos instalados nas máquinas custodiadas, como acesso a arquivos, execução de comandos e interações com o sistema.

 Métodos para coleta de logs:

– Coleta manual: envolve acessar diretamente as máquinas custodiadas e extrair os logs relevantes. Isso pode ser feito localmente ou remotamente, dependendo da infraestrutura e das políticas de segurança.

– Ferramentas automatizadas: existem várias ferramentas disponíveis que podem automatizar a coleta de logs em várias máquinas custodiadas simultaneamente, facilitando o processo e economizando tempo. Essas ferramentas podem ser usadas para coletar logs de uma variedade de fontes, incluindo servidores, estações de trabalho e dispositivos móveis.

Na atualidade, existe uma variedade de coletores de logs para simplificar a coleta e análise de registros em máquinas custodiadas, inclusive scripts desenvolvidos e disponibilizados livremente na internet. 

Melhores práticas para o tratamento de logs:

Depois que os logs foram coletados, eles precisam ser tratados para melhor entendimento e posteriormente analisados, gerando assim, evidências. A análise de logs pode ser feita manualmente ou usando uma ferramenta de análise de logs. 

As ferramentas de análise de logs podem ajudar a identificar padrões nos logs e a gerar relatórios que podem ser usados para investigar incidentes de segurança.

Aqui estão algumas dicas para coletar logs de máquinas custodiadas:

  • Use uma ferramenta de coleta de logs ou colete os logs manualmente
  • Evite manter a máquina custodiada conectada a internet, isso pode gerar mais logs, alguns até desnecessários
  • Colete logs de uma variedade de fontes, incluindo servidores, estações de trabalho e dispositivos móveis
  • Salve os logs em um formato seguro e pesquisável
  • Analise os logs o mais rápido possível após a coleta
  • Determine por quanto tempo os logs devem ser armazenados para garantir sua disponibilidade durante investigações futuras
  • Máquinas custodiadas para análise forense devem ser manuseadas o mínimo possível, por esse motivo crie um ponto de restauração ou imagem da máquina, colete os logs e desligue
  • Certifique-se de que os logs coletados não tenham sido modificados ou corrompidos, para que sejam considerados como evidências válidas

Ao seguir essas dicas, você pode garantir que os logs de máquinas custodiadas sejam coletados e analisados de forma adequada para apoiar uma investigação forense.

Benefícios da coleta de logs de máquinas custodiadas

A coleta de logs de máquinas custodiadas oferece uma série de benefícios, incluindo:

  • Ajuda a identificar a causa de um incidente de segurança
  • Rastreia o movimento de um invasor
  • Reúne evidências para um processo criminal
  • Fornece informações sobre o que aconteceu em uma máquina
  • Ajuda a melhorar a segurança de uma organização

 

Garantindo dados confiáveis

A coleta de logs de máquinas custodiadas, desempenha um papel crucial na análise forense, fornecendo informações valiosas para investigações. Ao seguir as melhores práticas e utilizar métodos adequados, é possível obter dados confiáveis e relevantes para auxiliar na resolução de incidentes de segurança e na identificação de atividades suspeitas.

VOCÊ PODE GOSTAR:
Estratégias para proteção contra ataques DDoS
proteção contra ataque DDoS

Acompanhe a Kryptus no Google Notícias    Por Dionatan Koch, Tech Líder de Cibersegurança na Leia mais

O que é criptografia de ponta a ponta e como funciona?
criptografia

Acompanhe a Kryptus no Google Notícias    Por Moisés Matias, Cybersecurity Architect Officer na Kryptus  Leia mais

O que é tratamento de incidentes?
tratamento de incidentes

Acompanhe a Kryptus no Google Notícias    A segurança da informação é sempre um tema Leia mais