मुझे सुरक्षा इवेंट लॉग का उपयोग क्यों करना चाहिए?

by टोनी ब्रैडली, सीआईएसएसपी-आईएसएसएपी

आपको घुसपैठियों को पकड़ने के लिए आगे की योजना बनाना है

उम्मीद है कि आप अपने कंप्यूटर को पैच और अपडेट करते रहें और आपका नेटवर्क सुरक्षित है। हालांकि, यह काफी अनिवार्य है कि आप किसी भी समय दुर्भावनापूर्ण गतिविधि - एक वायरस , कीड़ा , ट्रोजन हॉर्स, हैक हमला या अन्यथा के साथ मारा जाएगा। जब ऐसा होता है, यदि आपने हमले से पहले सही चीजें की हैं तो आप यह निर्धारित करने का काम करेंगे कि हमला कब और कैसे सफल हुआ।

यदि आपने टीवी शो सीएसआई या किसी अन्य पुलिस या कानूनी टीवी शो के बारे में कभी देखा है, तो आप जानते हैं कि फोरेंसिक साक्ष्य के सबसे पतले टुकड़े के साथ भी जांचकर्ता अपराध के अपराधी को पहचान, ट्रैक और पकड़ सकते हैं।

लेकिन, क्या यह अच्छा नहीं होगा अगर उन्हें एक ऐसे बाल को खोजने के लिए फाइबर के माध्यम से निकलने की ज़रूरत नहीं है जो वास्तव में अपराधी से संबंधित है और अपने मालिक की पहचान करने के लिए डीएनए परीक्षण करता है? क्या होगा यदि प्रत्येक व्यक्ति पर एक रिकॉर्ड रखा गया था जिसके बारे में वे संपर्क में आए थे और कब? क्या होगा अगर उस व्यक्ति के साथ क्या किया गया रिकॉर्ड रखा गया हो?

अगर ऐसा होता है, तो सीएसआई में ऐसे लोगों की तरह जांचकर्ता व्यवसाय से बाहर हो सकते हैं। पुलिस को शरीर मिल जाएगा, यह देखने के लिए रिकॉर्ड जांचें कि आखिरी बार मृतक के संपर्क में कौन आया था और क्या किया गया था और उन्हें खोदने के बिना पहले से ही पहचान होगी। आपके कंप्यूटर या नेटवर्क पर दुर्भावनापूर्ण गतिविधि होने पर फोरेंसिक सबूत की आपूर्ति के मामले में यह लॉगिंग प्रदान करता है।

यदि कोई नेटवर्क व्यवस्थापक लॉगिंग चालू नहीं करता है या सही घटनाओं को लॉग नहीं करता है, तो समय और तारीख या अनधिकृत पहुंच या अन्य दुर्भावनापूर्ण गतिविधि की विधि को पहचानने के लिए फोरेंसिक साक्ष्य खोदना उतना मुश्किल हो सकता है जितना कि प्रोवर्बियल सुई की तलाश में भूसे के ढेर। अक्सर हमले का मूल कारण कभी नहीं खोजा जाता है। हैक या संक्रमित मशीनों को साफ किया जाता है और हर कोई सामान्य रूप से यह जानने के बिना व्यवसाय में वापस लौटता है कि सिस्टम पहले से ही हिट होने पर उनके मुकाबले बेहतर हैं या नहीं।

कुछ एप्लिकेशन डिफ़ॉल्ट रूप से चीजें लॉग करते हैं। आईआईएस और अपाचे जैसे वेब सर्वर आम तौर पर आने वाले यातायात को लॉग करते हैं। यह मुख्य रूप से यह देखने के लिए प्रयोग किया जाता है कि वेबसाइट पर कितने लोग आए थे, वे किस आईपी पते का इस्तेमाल करते थे और वेब साइट के बारे में अन्य मीट्रिक-प्रकार की जानकारी। लेकिन, कोडरेड या निमाडा जैसे कीड़े के मामले में, वेब लॉग आपको तब भी दिखा सकते हैं जब संक्रमित सिस्टम आपके सिस्टम तक पहुंचने का प्रयास कर रहे हैं क्योंकि उनके पास कुछ निश्चित आदेश हैं जो वे लॉग इन करेंगे कि वे सफल हैं या नहीं।

कुछ प्रणालियों में निर्मित विभिन्न ऑडिटिंग और लॉगिंग फ़ंक्शंस होते हैं। आप कंप्यूटर पर विभिन्न कार्रवाइयों की निगरानी और लॉग इन करने के लिए अतिरिक्त सॉफ़्टवेयर भी इंस्टॉल कर सकते हैं (इस आलेख के दाईं ओर लिंकबॉक्स में टूल देखें)। विंडोज एक्सपी प्रोफेशनल मशीन पर अकाउंट लॉगऑन इवेंट्स, अकाउंट मैनेजमेंट, डायरेक्टरी सर्विस एक्सेस, लॉगऑन इवेंट्स, ऑब्जेक्ट एक्सेस, पॉलिसी चेंज, विशेषाधिकार का उपयोग, प्रक्रिया ट्रैकिंग और सिस्टम इवेंट्स ऑडिट करने के विकल्प हैं।

इनमें से प्रत्येक के लिए आप सफलता, विफलता या कुछ भी लॉग इन करना चुन सकते हैं। उदाहरण के तौर पर विंडोज एक्सपी प्रो का उपयोग करना, यदि आपने ऑब्जेक्ट एक्सेस के लिए कोई लॉगिंग सक्षम नहीं किया है तो आपके पास कोई रिकॉर्ड नहीं होगा जब फ़ाइल या फ़ोल्डर को अंतिम बार एक्सेस किया गया था। यदि आपने केवल विफलता लॉगिंग सक्षम की है तो आपके पास रिकॉर्ड होगा जब किसी ने फ़ाइल या फ़ोल्डर तक पहुंचने का प्रयास किया था लेकिन उचित अनुमतियां या प्रमाणीकरण न होने के कारण विफल रहा था, लेकिन आपके पास रिकॉर्ड नहीं होगा जब किसी अधिकृत उपयोगकर्ता ने फ़ाइल या फ़ोल्डर तक पहुंचाया था ।

चूंकि एक हैकर एक क्रैक किए गए उपयोगकर्ता नाम और पासवर्ड का उपयोग कर सकता है, इसलिए वे फ़ाइलों को सफलतापूर्वक एक्सेस करने में सक्षम हो सकते हैं। यदि आप लॉग देखते हैं और देखते हैं कि बॉब स्मिथ ने रविवार को 3 बजे कंपनी वित्तीय विवरण हटा दिया तो यह मानना सुरक्षित हो सकता है कि बॉब स्मिथ सो रहे थे और शायद उनके उपयोगकर्ता नाम और पासवर्ड से समझौता किया गया है । किसी भी घटना में, अब आप जानते हैं कि फ़ाइल के साथ क्या हुआ और यह कब और यह जांचने के लिए एक प्रारंभिक बिंदु देता है कि यह कैसा हुआ।

विफलता और सफलता लॉगिंग दोनों उपयोगी जानकारी और सुराग प्रदान कर सकते हैं, लेकिन आपको सिस्टम निगरानी के साथ अपनी निगरानी और लॉगिंग गतिविधियों को संतुलित करना होगा। उपरोक्त से मानव रिकॉर्ड पुस्तक उदाहरण का उपयोग करना- यह जांचकर्ताओं की सहायता करेगा यदि लोग संपर्क में आने वाले सभी लोगों के संपर्क में आए और बातचीत के दौरान क्या हुआ, लेकिन यह निश्चित रूप से लोगों को धीमा कर देगा।

अगर आपको रोकना और लिखना पड़ा, तो कौन सा और आपके पूरे दिन मुठभेड़ के लिए यह आपके उत्पादकता को गंभीर रूप से प्रभावित कर सकता है। कंप्यूटर गतिविधि की निगरानी और लॉगिंग के बारे में भी यही बात सच है। आप हर संभव विफलता और सफलता लॉगिंग विकल्प सक्षम कर सकते हैं और आपके कंप्यूटर में जो कुछ भी चल रहा है उसका विस्तृत विवरण होगा। हालांकि, आप प्रदर्शन को गंभीर रूप से प्रभावित करेंगे क्योंकि जब भी कोई बटन दबाता है या अपने माउस पर क्लिक करता है तो प्रोसेसर लॉग में 100 अलग-अलग प्रविष्टियों को रिकॉर्ड करने में व्यस्त होगा।

आपको वजन घटाना होगा कि लॉगिंग किस तरह के सिस्टम प्रदर्शन पर असर के साथ फायदेमंद होगा और आपके लिए सबसे अच्छा काम करने वाली शेष राशि के साथ आ जाएगा। आपको यह भी ध्यान में रखना चाहिए कि कई हैकर टूल्स और ट्रोजन हॉर्स प्रोग्राम जैसे सब 7 में उपयोगिताएं शामिल हैं जो उन्हें लॉग फ़ाइलों को उनके कार्यों को छुपाने और घुसपैठ को छिपाने के लिए बदलने देती हैं ताकि आप लॉग फ़ाइलों पर 100% पर भरोसा न करें।

आप लॉगिंग सेट अप करते समय कुछ चीजों को ध्यान में रखकर कुछ प्रदर्शन मुद्दों और संभावित रूप से हैकर उपकरण छिपाने के मुद्दों से बच सकते हैं। आपको यह अनुमान लगाने की आवश्यकता है कि लॉग फाइल कितनी बड़ी होंगी और सुनिश्चित करें कि आपके पास पहले स्थान पर पर्याप्त डिस्क स्थान है। आपको पुरानी लॉग ओवरराइट या हटा दी जाएगी या यदि आप दैनिक, साप्ताहिक या अन्य आवधिक आधार पर लॉग संग्रहित करना चाहते हैं, तो आपको नीति भी स्थापित करने की आवश्यकता है ताकि आपके पास पुराना डेटा भी वापस देखने के लिए हो।

यदि समर्पित हार्ड ड्राइव और / या हार्ड ड्राइव नियंत्रक का उपयोग करना संभव है तो आपके पास कम प्रदर्शन प्रभाव होगा क्योंकि लॉग फ़ाइलों को डिस्क पर लिखे जा सकने वाले अनुप्रयोगों से लड़ने के बिना डिस्क पर लिखा जा सकता है। यदि आप लॉग फ़ाइलों को एक अलग कंप्यूटर पर निर्देशित कर सकते हैं - संभवतः लॉग फ़ाइलों को संग्रहीत करने के लिए समर्पित है और पूरी तरह से अलग-अलग सुरक्षा सेटिंग्स के साथ- आप लॉग फ़ाइलों को बदलने या हटाने के लिए घुसपैठ करने की क्षमता को अवरुद्ध करने में सक्षम हो सकते हैं।

एक अंतिम नोट यह है कि आपको तब तक इंतजार नहीं करना चाहिए जब तक कि बहुत देर हो चुकी न हो और लॉग को देखने से पहले आपका सिस्टम पहले ही क्रैश हो या समझौता हो। समय-समय पर लॉग की समीक्षा करना सबसे अच्छा है ताकि आप जान सकें कि सामान्य क्या है और आधारभूत आधार स्थापित करें। इस तरह, जब आप गलत प्रविष्टियों में आते हैं तो आप उन्हें इस तरह पहचान सकते हैं और बहुत देर से फोरेंसिक जांच करने के बजाय अपने सिस्टम को सख्त करने के लिए सक्रिय कदम उठा सकते हैं।

Alike posts

See Newest

Sapid posts