Sammlung von Protokollen von verwahrten Maschinen für die forensische Analyse

Folgen Sie Kryptus auf Google News  

von Geovane Oliveira, IT-Analyst bei Kryptus

Protokollsammlung für forensische Analysen:

Verstehen Sie die Konzepte und Formen der Analyse, um den Verlust wichtiger Informationen zu vermeiden. 

Das Sammeln von Protokollen von Depotrechnern spielt eine Schlüsselrolle bei der forensischen Analyse und ermöglicht es Ermittlern, wichtige Informationen über verdächtige Aktivitäten zu gewinnen oder Sicherheitsvorfälle. In diesem Artikel untersuchen wir die Bedeutung der sicheren Protokollerfassung, die wichtigsten damit verbundenen Themen und die zu befolgenden Best Practices.

Was sind Protokolle und Custodial-Maschinen und warum sind sie für die forensische Analyse wichtig?

Protokolle sind detaillierte Aufzeichnungen von Ereignissen, Aktivitäten und Transaktionen, die in einem System oder einer Anwendung auftreten. Sie liefern wertvolle Verlaufsdaten zur Erkennung böswilligen Verhaltens, zur Verfolgung von Benutzeraktionen und zur Rekonstruktion von Vorfällen. Protokolle können Informationen wie Datum und Uhrzeit, IP-Adressen, durchgeführte Aktionen und aufgetretene Fehler, Anmeldungen, Abmeldungen und Dateizugriffe enthalten.

1-Abbildung: Beispiel für die Ereignisanzeige

Eine Custodial-Maschine ist eine Maschine zum Speichern und Verarbeiten vertraulicher Informationen. Diese Informationen können Finanzdaten, Kundendaten oder Daten zum geistigen Eigentum umfassen. Die verwahrte Maschine muss vor unbefugtem Zugriff, Veränderung und Zerstörung geschützt werden. Nachfolgend finden Sie den Prozess der Verwahrung:

2-Abbildung: Chain-of-Custody-Prozess (Maschine in Verwahrung)

Eine forensische Verwahrungsmaschine ist ein Computer oder Gerät, das Informationen, Dateien und Metadaten enthält, die für zukünftige Analysen reserviert sind. Diese Beweise können zur Untersuchung von Verbrechen oder Sicherheitsvorfällen verwendet werden.

Es gibt einige Gefahren, die zum Verlust von Protokollen auf einem Custodial-Computer führen können. Zu diesen Gefahren gehören:

• Hardwarefehler: Die Überwachungsmaschine kann ausfallen, was zum Verlust von Protokollen führt
• Böswillige Aktivitäten: Ein Angreifer kann die Protokolle löschen oder beschädigen
• Menschliches Versagen: Ein Benutzer kann versehentlich Protokolle löschen oder ändern

Um den Verlust von Protokollen zu vermeiden, ist es wichtig, einige Vorsichtsmaßnahmen zu treffen. Zu diesen Maßnahmen gehören:

• Protokolle sicher erfassen und speichern: Protokolle sollten an einem sicheren Ort gespeichert werden, der vor unbefugtem Zugriff geschützt ist.
• Protokolle sichern: Protokolle sollten regelmäßig gesichert werden, damit sie im Falle eines Verlusts wiederhergestellt werden können.
• Protokolle überwachen: Protokolle sollten regelmäßig überwacht werden, um verdächtige Aktivitäten zu erkennen.
• Gewahrsam befindliche Maschinen: Die Handhabung und Verwendung von gewahrsam befindlichen Maschinen sollte so weit wie möglich vermieden werden, da eine übermäßige Verwendung dazu führen kann, dass Informationen auf der Festplatte überschrieben werden und somit wichtige Informationen gefährdet werden. 

Mit diesen Schritten können Sie dazu beitragen, die Protokolle eines Depotcomputers vor Verlust zu schützen.

Das Sammeln und Analysieren von Protokollen von verwalteten Maschinen ist ein wichtiger Teil jeder forensischen Untersuchung. Protokolle liefern wertvolle Informationen, die verwendet werden können, um die Ursache eines Vorfalls zu ermitteln, die Bewegungen eines Eindringlings zu verfolgen und Beweise für eine Strafverfolgung zu sammeln.

Gängige Protokolltypen auf Custodial-Computern

Zu den wichtigsten vorhandenen Protokolltypen zählen: 

– Betriebssystemprotokolle: zeichnen Ereignisse im Zusammenhang mit der Funktionsweise des Betriebssystems auf, wie z. B. Start, Herunterfahren, Konfigurationsänderungen und Fehler.

– Sicherheitsprotokolle: Verfolgen Sie sicherheitsrelevante Aktivitäten wie Anmeldeversuche, Authentifizierungsfehler und Änderungen an Benutzerberechtigungen.

– Anwendungsprotokolle: Zeichnen Sie bestimmte Ereignisse von Anwendungen auf, die auf den überwachten Maschinen installiert sind, wie z. B. Dateizugriffe, Befehlsausführungen und Interaktionen mit dem System.

 Methoden zum Sammeln von Protokollen:

– Manuelle Erfassung: Dabei wird direkt auf die verwahrten Maschinen zugegriffen und die relevanten Protokolle extrahiert. Dies kann je nach Ihrer Infrastruktur und Ihren Sicherheitsrichtlinien lokal oder remote erfolgen.

– Automatisierte Tools: Es stehen mehrere Tools zur Verfügung, die die gleichzeitige Erfassung von Protokollen von mehreren Depotmaschinen automatisieren können, was den Prozess vereinfacht und Zeit spart. Mit diesen Tools können Protokolle aus einer Vielzahl von Quellen gesammelt werden, darunter Server, Workstations und Mobilgeräte.

Derzeit gibt es eine Vielzahl von Protokollsammlern, die die Erfassung und Analyse von Datensätzen auf verwahrten Maschinen vereinfachen, darunter auch entwickelte und im Internet kostenlos verfügbare Skripte. 

Bewährte Methoden für die Protokollverarbeitung:

Nachdem die Protokolle gesammelt wurden, müssen sie zum besseren Verständnis verarbeitet und anschließend analysiert werden, um Beweise zu generieren. Die Protokollanalyse kann manuell oder mithilfe eines Protokollanalysetools durchgeführt werden. 

Mithilfe von Protokollanalysetools können Muster in Protokollen erkannt und Berichte erstellt werden, die zur Untersuchung von Sicherheitsvorfällen verwendet werden können.

Hier sind einige Tipps zum Sammeln von Protokollen von Custodial-Computern:

• Verwenden Sie ein Tool zur Protokollsammlung oder sammeln Sie Protokolle manuell
• Vermeiden Sie es, die Maschine in Gewahrsam mit dem Internet verbunden zu halten, da dies weitere Protokolle erzeugen kann, einige sogar unnötig
• Sammeln Sie Protokolle aus einer Vielzahl von Quellen, einschließlich Servern, Workstations und Mobilgeräten
• Speichern Sie Protokolle in einem sicheren, durchsuchbaren Format
• Analysieren Sie Protokolle so schnell wie möglich nach der Erfassung
• Bestimmen Sie, wie lange Protokolle gespeichert werden sollen, um ihre Verfügbarkeit bei zukünftigen Untersuchungen sicherzustellen
• Maschinen, die für forensische Analysen in Gewahrsam sind, sollten so wenig wie möglich angefasst werden. Erstellen Sie daher einen Wiederherstellungspunkt oder ein Image der Maschine, sammeln Sie die Protokolle und schalten Sie sie aus.
• Stellen Sie sicher, dass die gesammelten Protokolle nicht geändert oder beschädigt wurden, sodass sie als gültige Beweise gelten.

Wenn Sie diese Tipps befolgen, können Sie sicherstellen, dass Protokolle von verwalteten Computern erfasst und angemessen analysiert werden, um eine forensische Untersuchung zu unterstützen.

Vorteile der Protokollerfassung von Custodial-Computern

Das Sammeln von Protokollen von Custodial-Computern bietet eine Reihe von Vorteilen, darunter:

• Hilft, die Ursache eines Sicherheitsvorfalls zu identifizieren
• Verfolgt die Bewegungen eines Eindringlings
• Sammelt Beweise für ein Strafverfahren
• Bietet Informationen darüber, was auf einer Maschine passiert ist
• Hilft, die Sicherheit einer Organisation zu verbessern

Sicherstellung zuverlässiger Daten

Das Sammeln von Protokollen von verwahrten Maschinen spielt eine entscheidende Rolle bei der forensischen Analyse und liefert wertvolle Informationen für Ermittlungen. Durch Befolgen bewährter Vorgehensweisen und Verwenden geeigneter Methoden können zuverlässige und relevante Daten gewonnen werden, die bei der Lösung von Sicherheitsvorfällen und der Identifizierung verdächtiger Aktivitäten helfen.

DAS KÖNNTE IHNEN AUCH GEFALLEN:

Was ist PCI-PIN-SICHERHEIT?

PCI PIN Security ist ein internationaler Sicherheitsstandard, der von allen Lesen Sie mehr

Kryptus kooperiert mit dem PCI Security Standards Council

Kryptus arbeitet mit dem PCI Security Standards Council zusammen, um die Sicherheit zu gewährleisten Lesen Sie mehr