Как известно, сами по себе операционные логи в компьютерных системах доказательной силы по случаю вывления атаки не имеют. Доказательством атаки могут служить только производные от этих логов, а именно:
- протокол осмотра пораженного атакой узла
- заключение эксперта-специалиста по информационной безопасности
- квалифицированная интерпретация логов.
Поддержка корректности и неизменнолсти логов на этапе их жизненного цикла от генерации одной программой до интерпретации человеком или другой программой является обязательной.
При этом содержимое разных лог-файлов как с самого узла так и имеющих к инциденту отношение, но находящихся вне узла (на других узлах) может:
- совпадать
- быть подножеством другого
- частично пересекаться по времени или другому признаку
- дополнять друг друга по времени или другому признаку
- не совпадать.
Поэтому доказательная сила логов заключается в их корректной интерпретации. Следовательно основная работа эксперта во время интерпретации заключается в выявлении взаимосвязей между различными записями в лог-файлах, которые отражают те или иные события. Другими словами, специалист занимается ручной корреляцией событий.
К примеру если это сервер IIS то отслеживание событий сайта Win2003/IIS приходиться выполнять напрямую по следующим журналам:
- системный
- безопасность
- приложения
- служба каталогов
- сервер IIS
- служба репликации файлов
- сервер DNS.
При этом сами типы корреляций могут быть следующие:
• локальная корреляция, осуществляемая непосредственно на защищаемом узле. В этом процессе участвует система обнаружения и предотвращения атак уровня узла если таковая имеется, которая либо отражает атаку, о чем оповещает администратора безопасности, либо нет.
• корреляция со сведениями об операционной системе. Если Windows-атака направлена на Unix-узел, то ее можно просто игнорировать. Если же ОС входит в список уязвимых для данной атаки, то в действие вступает следующий вариант корреляции.
• Корреляция атак и уязвимостей. Следуя определению атаки, она не может быть успешна, если атакуемый узел не содержит соответсвующей уязвимости. Таким образом, сопоставляя данные об атаке с информацией об уязвимостях атакуемого узла, можно с уверенностью будет сказать, применима ли зафиксированная атака к
вашей сети и, если да, то нанесет ли она вам какой-либо ущерб.
• Корреляция по времени наступления события. Корреляция позволяющая сопоставить разнородные события от разных источников в один момент времени и представить общую схему атаки.
• Корреляция по типу события. Некоторое событие повлекло или могло повлечь другое событие. Такую корреляцию довольно сложно реализовать простыми инструментами и поэтому в этом случае требуется вмешательство специалистов, которые расследуют инциденты.
Конечно не обязательно строить корреляцию вручную. Число автоматических систем корреляции постоянно растет и к ним, например, можно отнести:
• Forensics компании.
• Private l компании Ореn Systems.
• Security Manager компании Intellitactics.
• SPECTRUM Security Manager компании Арrisma Маnagеment Technologies.
• SystemWatch компании ОреnService.
• ArcSight одноименной компании.
• neuSECURE компании GuardedNet.
Компания IBM ISS предлагает систему RealSecure SiteProtector, которая обладает механизмами консолидации, агрегирования и корреляции событий, получаемых не только от всех своих решений в области обнаружения атак и анализа защищенности, но и от межсетевых экранов Сheck Роint Firewall-1 и Cisco РІХ Firewall.
Компания Cisco предлагает систему CiscoWorks Security Information Managеment Solution, которое построено на базе широко известной за рубежом системы управления информационной безопасности netForensics одноименной компании. Компания Symantec предлагает систему Symantec Incident Manager и семейство DeepSight, вошедшее в пакет предложений Зушап1ес после покупки последней компании SecurityFocus.
Все вышеперечисленное для эксплуатации требует определенных инвестиций и подготовленных кадров. А что делать если таких кадров нет или соответствующие средства не выделяются должным образом? Количество различных задач, а следовательно, и их логов которые нуждаются в нашем контроле растет с каждым годом. Оперативность визуального контроля как и его точность зависит от человеческого фактора как никогда. К сожалению не многие руководители понимают опасность роста такого риска. Ряд технических вопросов ложится на авось которого зовут администратор "Нюк", забывая что "Нюк" такой же человек как и все остальные.
И что делать сейчас "Нюку" ? !
А найти бесплатный, хорошо бы не требующий инсталяции выход! Вот хотя бы LogParser. Сокращенно LР. Что может LР здесь описывать не буду. Достаточно подробно об этом есть в интернете. Главное что LР позволяет поддерживать четыре основных механизма обработки анализируемых событий:
1. консолидация (event consolidation).
2. агрегирование (еvent aggregation).
3. корреляция (event correlation).
4. приоритезация (event prioritization).
Предложу для уверенности сравнение названных механизмов у такого гранда как RealSecure SiteProtector (далее SР) и простого LР в таблице. Смотреть ТАБЛИЦУ....К тому же LP позволяет обращаться ко многим форматам файлов данных напрямую. А за два шага (два SQL - запроса), через промежуточный формат NАТ, можно скоррелировать данные практически из любых источников данных. Необходимы знания лишь известных языков SQL и VBScript (WSH+WMI), которые для современного системного администратора являются базовыми после английского. В зависимости от формата вывода можно выполнить мультиплексный вывод, т.е. в зависимости от события формируется название выходного файла. Напротив в мультиплексном вводе есть поддержка поля "LogFileName", пока не для всех форматов. Примеры реализации названных механизмов LР здесь не приводятся потому как их можно с успехом найти как на официальном сайте Microsoft так и на сайте почитателей LР www.logparser.com.
Таким образом коррелятор на базе LР позволяет не делая дополнительных инвестиций за короткое время прозрачно настроить и:
- выполнять автоматически анализ журналов регистрации разнородных средств защиты, что позволяет существенно уменьшить время, затрачиваемое на такой анализ;
- сэкономить средства и время на анализ, который, в случае отсутствия механизма корреляции, приходится выполнять вручную, что требует уйму времени;
- снизить число ложных срабатываний и оповещений о нарушениях политики безопасности.
Источник: http://www.security.ukrnet.net/modules/sections/index.php?op=viewarticle&artid=1324 | 
