在 Google 新闻上关注 Kryptus 
通过 乔瓦内·奥利维拉,Kryptus 的 IT 分析师
收集日志进行取证分析:
了解分析的概念和形式,以避免丢失重要信息。
从保管机器收集日志在法医分析中起着关键作用,使调查人员能够获得有关可疑活动或 安全事故。 在本文中,我们将探讨安全收集日志的重要性、与之相关的关键主题以及应遵循的最佳实践。
什么是日志和保管机器?为什么它们在法医分析中很重要?
日志是系统或应用程序中发生的事件、活动和交易的详细记录。它们为识别恶意行为、跟踪用户行为和重建事件提供了宝贵的历史记录。日志可能包括日期和时间、IP 地址、采取的操作和遇到的错误、登录、注销和文件访问等信息。
图 1:事件查看器示例
保管机是用于存储和处理机密信息的机器。这些信息可能包括财务数据、客户数据或知识产权数据。必须保护保管的机器,防止未经授权的访问、更改和破坏。以下是保管链流程:
图 2:保管链流程(机器保管)
法医保管机是一种计算机或设备,其中包含供将来分析的信息、文件和元数据。这些证据可用于调查犯罪或安全事件。
有一些危险可能会导致保管机器上的日志丢失。这些危害包括:
- 硬件故障:托管机器可能出现故障,导致日志丢失
- 恶意活动:攻击者可以删除或破坏日志
- 人为错误:用户可能会意外删除或更改日志
为了避免丢失日志,采取一些预防措施非常重要。这些措施包括:
- 安全地收集和存储日志:日志应存储在安全的位置,以防止未经授权的访问。
- 备份日志:日志应定期备份,以便在丢失时可以恢复。
- 监控日志:应定期监控日志以检测可疑活动。
- 保管机器:应尽可能避免处理和使用保管机器,因为过度使用可能会导致磁盘上的信息被覆盖,从而危及重要信息。
通过采取这些步骤,您可以帮助保护保管机器的日志免遭丢失。
收集和分析保管机器的日志是任何法医调查的重要组成部分。日志提供了有价值的信息,可用于识别事件原因、追踪入侵者的行动以及收集刑事起诉的证据。
保管机器上的常见日志类型
现有的日志类型中,主要有:
– 操作系统日志:记录与操作系统运行相关的事件,例如启动、关闭、配置更改和错误。
– 安全日志:跟踪与安全相关的活动,例如登录尝试、身份验证失败和用户权限更改。
– 应用程序日志:记录安装在托管机器上的应用程序的特定事件,例如文件访问、命令执行和与系统的交互。
日志收集方法:
– 手动收集:直接访问被保管的机器并提取相关日志。这可以在本地或远程完成,具体取决于您的基础设施和安全策略。
– 自动化工具:有几种可用的工具可以同时自动从多台保管机器收集日志,从而简化流程并节省时间。这些工具可用于从各种来源收集日志,包括服务器、工作站和移动设备。
目前,有多种日志收集器可以简化保管机器上的记录的收集和分析,包括已开发并可在互联网上免费获取的脚本。
日志处理的最佳实践:
日志收集到之后,需要进行处理以便更好地理解,然后进行分析,从而生成证据。日志分析可以手动完成,也可以使用日志分析工具完成。
日志分析工具可以帮助识别日志中的模式并生成可用于调查安全事件的报告。
以下是从保管机器收集日志的一些提示:
- 使用日志收集工具或手动收集日志
- 避免将机器连接到互联网,这样会产生更多日志,有些甚至是不必要的
- 从各种来源收集日志,包括服务器、工作站和移动设备
- 以安全、可搜索的格式保存日志
- 收集后尽快分析日志
- 确定日志应存储多长时间以确保其在未来调查期间可用
- 应尽可能少地处理用于法医分析的保管机器,因此请创建机器的还原点或映像,收集日志并将其关闭。
- 确保收集的日志没有被修改或损坏,以便它们被视为有效证据。
通过遵循这些提示,您可以确保收集并适当分析保管机器的日志,以支持法医调查。
从托管机器收集日志的好处
从保管机器收集日志有很多好处,包括:
- 帮助确定安全事件的原因
- 追踪入侵者的行动
- 收集刑事案件证据
- 提供有关机器上发生的事情的信息
- 帮助提高组织的安全性
确保数据可靠
从保管机器收集日志在法医分析中起着至关重要的作用,为调查提供了有价值的信息。通过遵循最佳实践并使用适当的方法,可以获得可靠和相关的数据来协助解决安全事件和识别可疑活动。
