forensics.cyber-kill-chain.ch

Menu

HIDS/Host

Definition und Begriff

Computer können Dienste für Benutzer oder andere Computer in einem Netz anbieten. Auf diesen Computern sammeln sich Spuren, die forensische ausgewertet werden können. Dabei werden die im Computer enthaltenen Datenträger oder der Arbeitsspeicher untersucht, oder es kommen Host Intrusion Detection Systeme (HIDS) zur Anwendung, die Vorgänge auf den Computern loggen.

einplfegen:

https://medium.com/mii-cybersec/log-analysis-for-digital-forensic-investigation-e4a00f5a5c09

https://www.sans.org/brochure/course/log-management-in-depth/6

mitre datasources

Vorlesung CRS SW14-Mathias fuchs, Mathias fuchs auch noch auf befragungsliste nehmen

video erstellen von einem linux syslog

bilder erstellen von einem windows eventlogger

Aufbau wie im sans cheatsheet:
https://www.sans.org/brochure/course/log-management-in-depth/6

Synonyme Begriffe: Protokolldatei, Ereignisprotokoll, Eventlog, log file, log.

Overview: HIDS/Host

Praktische Relevanz

Logdateien sind ein zentrales Beweismittel. Nahezu jedes Gerät führt irgendeine Art von Logdatei. Logging-Facilities müssen mit besonderer Sorgfalt konfiguriert, verwaltet, gesichert und die von ihnen generierten Logfiles sicher verwahrt werden.

In der Praxis zeigt sich, dass in vielen Unternehmen Defizite bei der Inventarisierung und Dokumentation ihrer Systeme bestehen und nicht resp. nicht genügend bekannt ist, wo welche Logfiles mit welchem Inhalt generiert werden.

Zentrale Logserver

Wertvoll ist der Einsatz von zentralen Logservern1Messier, Network Forensics, S. 216; , die nur einer stark beschränkten Nutzergruppe zugänglich sind; am besten ausschliesslich im Vier-Augen-Prinzip. Es sollte nicht ausschliesslich auf einen zentralen Logserver abgestützt werden, sondern die NIDS sollten zum einen eigenständig ihre Logs noch über einen längeren Zeitraum vorhalten können und zum andern sollten zentrale Logserver idealerweise Redundanzen und eine andere Lokalität aufweisen. Auch Logserver sollten Backuping betreiben.

Hinweise zur Beweissicherung bei Log Files

  • Die forensischen Grundsätze gelten bei Log Files uneingeschränkt;
  • Administratoren/Owner von Log Files oder Systemen mit relevanten Log Files oder von zentralen Log Verwaltungsinstanzen dürfen nicht die eigenen untersuchungen führen (vgl. )
  • Log Files müssen in einem Kontext betrachtet und analysiert werden: Es müssen gleichzeitig mit der Log File-Sicherung aktuelle Netzwerktopologien herausverlangt oder erstellt werden; anders lassen sich viele netzwerktechnische Sachverhalte nicht interpretieren;
  • Verschiedene Log Files müssen zeitlich synchronisiert werden, damit wird die zeitliche Interpretation der Vorkommnisse stark erleichtert2BSI, Leitfaden IT-Forensik, S. 203; Mohan/Anderson/Collie/Del Vel/McKemmish, S. 84 f.;

Tools zur Log File-Analyse

https://www.loganalysis.org/log-parsing/

Weitere Materialien

Referenzen
Referenzen
1 Messier, Network Forensics, S. 216;
2 BSI, Leitfaden IT-Forensik, S. 203; Mohan/Anderson/Collie/Del Vel/McKemmish, S. 84 f.