Netzwerke resp. der auf ihnen übertragene Verkehr können nicht direkt forensisch untersucht werden, da sie kein statisches Medium darstellen. Zur Untersuchung von Netzwerkverkehr muss der Datenverkehr mitgeschnitten und analysiert werden. Dazu kann auf Network Intrusion Detection Systems (NIDS) zurückgegriffen.
Einpflegen:
mitre datasources
Vorlesung CRS SW14-Mathias fuchs, Mathias fuchs auch noch auf befragungsliste nehmen
aus https://link.springer.com/chapter/10.1007/978-3-319-99277-8_3
Synonyme Begriffe: Intrusion Detection System (IDS), NIPS (Network Intrusion Prevention System), Security Information and Event Management (SIEM), Netzwerksniffer, Traffic Analyzer.
Logdateien sind ein zentrales Beweismittel. Nahezu jedes Gerät führt irgendeine Art von Logdatei. Logging-Facilities müssen mit besonderer Sorgfalt konfiguriert, verwaltet, gesichert und die von ihnen generierten Logfiles sicher verwahrt werden.
In der Praxis zeigt sich, dass in vielen Unternehmen Defizite bei der Inventarisierung und Dokumentation ihrer Systeme bestehen und nicht resp. nicht genügend bekannt ist, wo welche Logfiles mit welchem Inhalt generiert werden.
Wertvoll ist der Einsatz von zentralen Logservern1<span class=”autor”>Messier</span>, Network Forensics, S. 216; , die nur einer stark beschränkten Nutzergruppe zugänglich sind; am besten ausschliesslich im Vier-Augen-Prinzip. Es sollte nicht ausschliesslich auf einen zentralen Logserver abgestützt werden, sondern die NIDS sollten zum einen eigenständig ihre Logs noch über einen längeren Zeitraum vorhalten können und zum andern sollten zentrale Logserver idealerweise Redundanzen und eine andere Lokalität aufweisen. Auch Logserver sollten Backuping betreiben.
Einpflegen:
mitre datasources
Vorlesung CRS SW14-Mathias fuchs, Mathias fuchs auch noch auf befragungsliste nehmen
aus https://link.springer.com/chapter/10.1007/978-3-319-99277-8_3
ALT AUS LOG FILES üBERNEHMEN
Folgende Prinzipien sollten eingehalten werden:
https://www.loganalysis.org/log-parsing/