امروزه با رشد روز افزون اطلاعات و نیاز افراد به جمع آوری و طبقه بندی آنها تهدیداتی که متوجه سیستم های اطلاعاتی به منظور تخریب آنها هستند با رشد روز افزونی مواجه هستند.امروزه در سیستم های مدرن محاسباتی و کامپیوتری قابل اطمینان ترین راه آگاه شدن از تهدیدات جستجو و مطالعه در فعالیت های کل سیستم هم در سطح میزبان و سرور و هم در سطح شبکه و تطبیق و پیدا کردن ارتباط منطقی فی مابین آنها می باشد .
چرا که در بیشتر مواقع کاربر نهایی سیستم اطلاعاتی در خصوص نرم افزار های مخرب و یا تهدیدات بلقوه و یا بلفعل ندارد لذا نمیتوان تنها به گزارشانی که از طرف کاربر نهایی مورد بازبینی قرار می گیرنر اکتفا نمود.کم و بیش تمامی سیستم ها و برنامه های کاربردی امروزی توانایی ایجاد و جمع آوری Log از فعالیت ها ی خود را دارند .
در خصوص مفهوم و کلیات لاگ برداری در دوره آموزش نتورک پلاس توضیحات کلی را آموزش داده ایم
و میزان این Log های تولید شده در سیستم ها و برنامه های کاربردی بقدری زیاد است که عملا بعنوان معضلی برای Admin ها مطرح بوده و در توانایی بازبینی کلیه این داده ها بصورت روزانه برای Admin های شبکه وجود ندارد و در واقع این معضل کارایی سیستم های Alerting را به شدت کاهش می دهد.
برای مثال یک IIS ساده از یک سرور Exchange Microsoft که برنامه Outlook web Access را اجرامی نماید در حالی که تمامی تنظیمات در حالت Defualt باشد برای یک سازمان متوسط با 600 کاربر در یک هفته بصورت متوسط روزانه 126 مگابایت نزدیک به 607185 خط داده تولید می نماید که بدون داشتن ابزاری که بصورت اتوماتیک این داده ها را پردازش کند در صورتی که Admin در هر ثانیه یک خط از این اطلاعات را مرور کند نزدیک به 7 روز طول خواهد کشیدو در واقع در صورتی که تصور کنیم این توانایی برای Admin شبکه وجود دارد که این میزان از داده را مرور نماید این امکان که در زمان مناسب به تهدیدات پاسخ مناسبی داده شود وجود نخواهد داشت.فعالیتی که بر اساس آن اطلاعات شبکه و سیستم ها جمع آوری و پردازش می گردند در متون و منابع مختلف نامهای متفاوتی از جمله موارد ذیل دارند:
Security Information and Event Management (SIEM) Security Event Management (SEM) Security Information Management (SIM) System and network monitoring
شکل صفحه بعد فرآیند تولید ، جمع آوری و برقرای ارتباط و در نهایت پاسخ گویی به log تولید شده در یک سیستم را نشان می دهد :
همانطور که در شکل با مشخص است 6 مرحله از شروع درخواست کاربر تا پاسخ گویی Admin شامل موارد ذیل وجود دارد :
در نهایت تکنولوژی هایی که بتواند به بهترین وجه این log فایل های تولید شده در سیستم را جمع آوری کند و پردازش نماید و ارتباط بین این اطلاعات را برقرار نموده و در نهایت به درستی ایجاد Alert نماید بعنوان تکنولوژی مناسب جهت استفاده بعنوان سیستم مانیتورینگ شناخته می شود .شکل زیر انواع log فایل های تولید شده در سیستم های مختلف را نشان می دهد :
از جمله تکنیک هایی که در جمع آوری log فایل ها استفاده می شود می توان به موارد ذیل آشاره نمود :
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات
محمد نصیری هستم ، بنیانگذار انجمن تخصصی فناوری اطلاعات ایران و مجموعه توسینسو ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 80 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر و ناظر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود