Интернетмагазин



Download 18,66 Mb.
Pdf ko'rish
bet263/272
Sana25.02.2022
Hajmi18,66 Mb.
#290514
1   ...   259   260   261   262   263   264   265   266   ...   272
Bog'liq
Диогенес Ю., Озкайя Э. - Кибербезопасность. Стратегии атак и обороны - 2020

с
опоставление
 
Данных
 
Нет сомнений в том, что большинство организаций будет использовать SIEM-
решение для концентрации всех своих журналов в одном месте и применять 
собственный язык запросов для поиска по всем журналам. Это является реаль-
ностью. Будучи профессионалом в области безопасности, вы должны знать, как 
перемещаться по различным событиям, журналам и артефактам для проведе-
ния более глубоких исследований. Во многих случаях данные, полученные от 
SIEM, будут полезны для определения угрозы, ее участников и сужения числа 
скомпрометированных систем, но в некоторых случаях этого недостаточно. 
Тогда вам нужно найти основную причину и устранить угрозу.
По этой причине каждый раз при выполнении анализа данных важно ду-
мать о том, как части этой головоломки будут работать вместе.
На рис. 16.1 показан пример такого подхода к сопоставлению данных для 
просмотра журналов.

316  Анализ журналов
Журналы
операционной системы
Журналы
веб-сервера
Журналы
брандмауэра
Журналы
брандмауэра
1
4
2
3
Рис. 16.1
Давайте посмотрим, как работает эта блок-схема:
1) специалист начинает просматривать признаки компрометации в жур-
налах операционной системы. В ОС обнаружено много подозрительных 
действий, и, просмотрев файл предварительной выборки Windows, мож-
но сделать вывод, что подозрительный процесс установил обмен данны-
ми с внешним объектом. Теперь настало время просмотреть журналы 
брандмауэра, чтобы проверить дополнительную информацию об этом 
соединении;
2) журналы брандмауэра показывают, что соединение между рабочей стан-
цией и внешним сайтом было установлено с использованием протокола 
TCP на порту 443 и что оно было зашифровано;
3) во время этого обмена данными с внешнего сайта был инициирован на 
внутренний веб-сервер обратный вызов. Пришло время просмотреть 
файлы журналов веб-сервера;
4) специалист продолжает процесс корреляции данных, просматривая жур-
налы IIS, расположенные на этом веб-сервере. Он узнает, что злоумыш-
ленник предпринял атаку с использованием SQL-инъекции на этот веб-
сервер.
Журналы для доступа, информация, которую мы ищем, и, самое главное, 
рассмотрение всех этих данных в контекстуальной манере – за всем этим сто-
ит определенная логика.

Download 18,66 Mb.

Do'stlaringiz bilan baham:
1   ...   259   260   261   262   263   264   265   266   ...   272



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling
kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha

yuklab olish