término  |
definición |
|
empezar lección
|
|
Logi to zapisy zdarzeń w systemie, aplikacji lub sieci. Przechowują dane o aktywności użytkowników - wspierają analizę bezpieczeństwa i wykrywanie incydentów.
|
|
|
|
empezar lección
|
|
Zawierają informacje o zdarzeniach w systemie operacyjnym, np uruchomienie, wyłączenie, błędy aplikacji. Podejrzeć je można w dzienniki zdarzeń. Win + r, wpisać eventvwr. msc i enter
|
|
|
|
empezar lección
|
|
Opisują ogólny stan systemu: zużycie zasobów, błędy sprzętowe, komunikaty kernela. pomagają diagnozować problemy. Cześć Event viewer, tu znajdę np błędy sprzętowe, zatrzymanie usług itp.
|
|
|
|
empezar lección
|
|
Kernel to jądro systemu operacyjnego, najważniejsza część systemu, zarządza sprzętem CPU, RAM, dysk pozwala aplikacjom z niego korzystać. Komunikaty kernela to info o tym co widzi lub robi np wykrycie nowego sprzętu lub błędy sterowników
|
|
|
|
empezar lección
|
|
Rejestrują zdarzenia bezpieczeństwa np logowania, zmiany w politykach. Kluczowe w analizie incydentów. Znajdę je w Event viewer. logi np. 4624 udane logowanie, 4625 nieudane logowanie, 4726 usunięcie konta usera,
|
|
|
|
empezar lección
|
|
Zapisują kto, kiedy i do jakiego zasobu uzyskał dostęp. Pomagają wykrywać nieautoryzowane próby dostępu. Więcej tych info można zobaczyć np na Windows serwer, active directory. Można też zbierać logi z wielu miejsc ze splunk lub SIEM
|
|
|
|
empezar lección
|
|
logi pokazujące ruch sieciowy, który przechodzi przez zaporę sieciową firewall, zarówno dozwolony jak i zablokowany. Dzięki nim można analizować źródło podejrzanych połączeń, zauważyć próby skanowania portów, wykryć ataki typu brute force itp
|
|
|
|
empezar lección
|
|
IDS logs to logi tworzone przez systemy wykrywania włamań IDS, które monitorują sieć lub system w poszukiwaniu zachowań takich jak skanowanie portów, próby wykorzystania luk, nietypowy ruch sieciowy itp.
|
|
|
|
empezar lección
|
|
to proces badania i interpretowania danych z logów w celu uzyskania informacji. Pomaga wykrywać trendy, anomalie i luki w bezpieczeństwie, a także podejmować decyzje o działaniach.
|
|
|
|
empezar lección
|
|
to proces identyfikowania powiązań między logami z różnych źródeł. Pozwala zrozumieć całokształt incydentu bezpieczeństwa, np poprzez łączenie logów z sieci, uwierzytelniania i firewalla.
|
|
|
|
empezar lección
|
|
to proces łączenia danych z różnych źródeł w jedno repozytorium. Umożliwia to łatwiejsze zarządzanie logami, monitorowanie i analizowanie zdarzeń, dzięki połączeniu różnych informacji.
|
|
|
|
empezar lección
|
|
logi mogą stanowić bogate źródło dowodów w trakcie śledztwa wewnętrznego, stanowić dowody w ramach procesów sądowych. Pozwalają one na rekonstrukcję zdarzeń, czasu, kiedy nastąpiły
|
|
|
