forensics.cyber-kill-chain.ch

HIDS/Host

Definition und Begriff

Computer können Dienste für Benutzer oder andere Computer in einem Netz anbieten. Auf diesen Computern sammeln sich Spuren, die forensische ausgewertet werden können. Dabei werden die im Computer enthaltenen Datenträger oder der Arbeitsspeicher untersucht, oder es kommen Host Intrusion Detection Systeme (HIDS) zur Anwendung, die Vorgänge auf den Computern loggen.

Overview: HIDS/Host

Praktische Relevanz

Zentrale Logserver

Wertvoll ist der Einsatz von zentralen Logservern1Messier, Network Forensics, S. 216; , die nur einer stark beschränkten Nutzergruppe zugänglich sind; am besten ausschliesslich im Vier-Augen-Prinzip. Es sollte nicht ausschliesslich auf einen zentralen Logserver abgestützt werden, sondern die NIDS sollten zum einen eigenständig ihre Logs noch über einen längeren Zeitraum vorhalten können und zum andern sollten zentrale Logserver idealerweise Redundanzen und eine andere Lokalität aufweisen. Auch Logserver sollten Backuping betreiben.

Hinweise zur Beweissicherung bei Log Files

  • Die forensischen Grundsätze gelten bei Log Files uneingeschränkt;
  • Administratoren/Owner von Log Files oder Systemen mit relevanten Log Files oder von zentralen Log Verwaltungsinstanzen dürfen nicht die eigenen untersuchungen führen (vgl. )
  • Log Files müssen in einem Kontext betrachtet und analysiert werden: Es müssen gleichzeitig mit der Log File-Sicherung aktuelle Netzwerktopologien herausverlangt oder erstellt werden; anders lassen sich viele netzwerktechnische Sachverhalte nicht interpretieren;
  • Verschiedene Log Files müssen zeitlich synchronisiert werden, damit wird die zeitliche Interpretation der Vorkommnisse stark erleichtert2BSI, Leitfaden IT-Forensik, S. 203; Mohan/Anderson/Collie/Del Vel/McKemmish, S. 84 f.;

Weitere Materialien

Referenzen
Referenzen
1 Messier, Network Forensics, S. 216;
2 BSI, Leitfaden IT-Forensik, S. 203; Mohan/Anderson/Collie/Del Vel/McKemmish, S. 84 f.