Zum Inhalt springen
Windows-Ereignisprotokolle, Ereignisprotokolle, Windows, iDiscovery-Lösungen

Von Bobby R. Williams Jr. am 10.11.20 7:00 Uhr

Ermittler beginnen nicht mit Antworten. Wir stellen Fragen. Unsere Mission (sollten wir uns dafür entscheiden, sie anzunehmen) besteht darin, festzustellen, was passiert ist und wann. In Ihren Daten ist möglicherweise ein wertvoller Edelstein verborgen, aber wir werden es nicht wissen, bis wir mit dem Graben beginnen. Im expandierenden digitalen Universum gibt es überall Artefakte um uns herum. Zu wissen, was sie sind und wie sie analysiert werden, ist der Schlüssel zum Aufdecken der Erzählung in den Daten. Wenn Sie eine Zeitachse der Ereignisse erstellen müssen, sind die Ereignisprotokolle auf Windows-Workstations und -Servern ein guter Ausgangspunkt.

Ereignisprotokolle verfolgen viele nützliche Aktionen. Ereignisse wie Anmeldungen, Abmeldungen und das Einschalten von Maschinen sind nur einige Beispiele. Wenn Sie auf einen Vorfall reagieren, sind Ereignisprotokolle wahrscheinlich eine wichtige Informationsquelle. Um sicherzustellen, dass Informationen verfügbar sind, wenn Sie sie benötigen, müssen Sie sicherstellen, dass Protokolle archiviert werden. Klingt einfach, oder?

Es gibt Konfigurationseinstellungen, die Sie steuern, um zu bestimmen, wie weit Ihre Protokolle zurückgehen können. Wenn Sie einfach die Standardeinstellungen verwenden, ist die Größe möglicherweise zu klein, um die wichtigsten Ereignisprotokolle zu speichern. Es ist auch hilfreich zu wissen, welche Protokolle welche Ereignisse nachverfolgen. Dies kann Ihnen bei der Entscheidung helfen, wo Sie Änderungen an Ihrem Protokollarchivierungsprotokoll vornehmen sollten.

Warum sind Ereignisprotokolle wichtig?

Ähnlich wie mittlere Kinder sind Ereignisprotokolle oft ein nachträglicher Einfall. Unternehmen konzentrieren sich stark auf vorbeugende Sicherheitsmaßnahmen wie Zugangspunkte, Authentifizierung und Verschlüsselung. Das ist wichtig. Sie möchten aktiv werden. Bei digitalen Forensik- und Cyber-Sicherheitsuntersuchungen müssen Sie rekonstruieren, was passiert ist. Wer hatte Zugriff? Wann? Ereignisprotokolle können die Antworten enthalten, egal ob es um die Ermittlung der Aktivitäten eines ausgeschiedenen Mitarbeiters, die Reaktion auf einen Vorfall oder die Abwehr eines aktiven Einbruchs geht. Wenn Sie nicht genau wissen, wie Protokolle verwaltet werden, lassen Sie möglicherweise die Antworten auf zukünftige Fragen durch Ihre … Festplatten gleiten.

Was ist mein Imbiss?

  1. Verstehen Sie, dass es in Ihrer Untersuchung möglicherweise kein einzelnes Hauptereignis gibt. Die Antworten liegen oft in der Korrelation einer Reihe von Ereignissen. Ein qualifizierter Experte kann Ihnen dabei helfen, die Einträge im Ereignisprotokoll zu verstehen und dem Geschehenen näher zu kommen. Dazu müssen Sie sicherstellen, dass Ereignisprotokolle mit einem absichtlichen Protokoll archiviert werden.
  2. Das Erweitern der Größe von Schlüsselprotokolldateien kann Ihnen dabei helfen, mehr Daten aufzubewahren. Neue Ereignisse können alte Ereignisse verdrängen, sobald Sie die maximale Protokollgröße erreicht haben. Glücklicherweise ist Maschinenspeicherung relativ günstig geworden, und das Generieren von Protokollen wird Ihre Ressourcen nicht belasten. Erhöhen Sie also die Größe wichtiger Ereignisprotokolle von 20 MB auf einige GB. Ich sage, erhöhen Sie die Größe aller Protokolle, wann immer dies möglich ist. Wenn Größe und Speicherplatz immer noch ein Problem sind, wählen Sie Schlüsselprotokolle für erweiterte Größe. Mein Kollege Jonathan Karchmer empfiehlt Security.evtx als Beispiel, worauf man sich konzentrieren sollte.
  3. Wenn Ihre Organisation dies noch nicht tut, sollten Sie die Verwendung von SIEM-Technologie in Betracht ziehen, um Ereignisprotokolle zu sammeln und zu untersuchen. Beginnen Sie zumindest damit, Ereignisprotokolle von kritischen Arbeitsstationen weiterzuleiten und Maschinen- und Server-Ereignisprotokolle in einem anderen Repository zu sichern. Redundanz schützt vor Datenverlust. Wenn Ereignisse auf Ihren Computern und Servern veraltet sind, kann der Backup-Speicherort jahrelange Aktivitäten enthalten, die andernfalls verloren gegangen wären. Für Unternehmen mit fortgeschritteneren Sicherheitseinstellungen hilft die Verwendung und Optimierung von SIEM bei der proaktiven „Jagd“ nach Bösewichten. Ein qualifizierter Experte kann möglicherweise mit der Triage beginnen, indem er einfach eine Kopie Ihrer archivierten Ereignisprotokolle sammelt, was dann helfen könnte, eine gezielte Untersuchung durchzuführen und Ihnen Geld zu sparen.

Diese einfachen Schritte können dazu beitragen, dass Ihre Organisation der Vorbereitung auf das Hauptereignis näher kommt.

de_DEDE