Logi analiza i korelacja danych

Czym są Logi

Logi to zapisy zdarzeń w systemie, aplikacji lub sieci. Przechowują dane o aktywności użytkowników - wspierają analizę bezpieczeństwa i wykrywanie incydentów.

Event Logs

Zawierają informacje o zdarzeniach w systemie operacyjnym, np uruchomienie, wyłączenie, błędy aplikacji. Podejrzeć je można w dzienniki zdarzeń. Win + r, wpisać eventvwr. msc i enter

System Logs

Opisują ogólny stan systemu: zużycie zasobów, błędy sprzętowe, komunikaty kernela. pomagają diagnozować problemy. Cześć Event viewer, tu znajdę np błędy sprzętowe, zatrzymanie usług itp.

Kernel

Kernel to jądro systemu operacyjnego, najważniejsza część systemu, zarządza sprzętem CPU, RAM, dysk pozwala aplikacjom z niego korzystać. Komunikaty kernela to info o tym co widzi lub robi np wykrycie nowego sprzętu lub błędy sterowników

Security Logs

Rejestrują zdarzenia bezpieczeństwa np logowania, zmiany w politykach. Kluczowe w analizie incydentów. Znajdę je w Event viewer. logi np. 4624 udane logowanie, 4625 nieudane logowanie, 4726 usunięcie konta usera,

Access Logs

Zapisują kto, kiedy i do jakiego zasobu uzyskał dostęp. Pomagają wykrywać nieautoryzowane próby dostępu. Więcej tych info można zobaczyć np na Windows serwer, active directory. Można też zbierać logi z wielu miejsc ze splunk lub SIEM

Firewall Logs

logi pokazujące ruch sieciowy, który przechodzi przez zaporę sieciową firewall, zarówno dozwolony jak i zablokowany. Dzięki nim można analizować źródło podejrzanych połączeń, zauważyć próby skanowania portów, wykryć ataki typu brute force itp

IDS Logs

IDS logs to logi tworzone przez systemy wykrywania włamań IDS, które monitorują sieć lub system w poszukiwaniu zachowań takich jak skanowanie portów, próby wykorzystania luk, nietypowy ruch sieciowy itp.

Analiza logów

to proces badania i interpretowania danych z logów w celu uzyskania informacji. Pomaga wykrywać trendy, anomalie i luki w bezpieczeństwie, a także podejmować decyzje o działaniach.

korelacja logów

to proces identyfikowania powiązań między logami z różnych źródeł. Pozwala zrozumieć całokształt incydentu bezpieczeństwa, np poprzez łączenie logów z sieci, uwierzytelniania i firewalla.

agregacja logów

to proces łączenia danych z różnych źródeł w jedno repozytorium. Umożliwia to łatwiejsze zarządzanie logami, monitorowanie i analizowanie zdarzeń, dzięki połączeniu różnych informacji.

logi, analiza forensic

logi mogą stanowić bogate źródło dowodów w trakcie śledztwa wewnętrznego, stanowić dowody w ramach procesów sądowych. Pozwalają one na rekonstrukcję zdarzeń, czasu, kiedy nastąpiły