نوشته‌شده در

چگونه IDS ها و سیاهههای مربوط به فایروال جمع شده و ورود به سیستم به SIEM اضافه شده است؟

نحوه جمع آوری / ذخیره سیاههها بستگی به مورد استفاده است که شما SIEM خود و معماری استقرار را مستقر کرده اید.

یک SIEM معمولی موارد زیر را برای شما ارائه خواهد داد:

  1. Log Collection
  2. Log Retension [19659004] ورود به سیستم تجزیه و تحلیل
  3. رویداد همبستگی
  4. ورود به سیستم قانونی
  5. IT مطابق
  6. زمان واقعی هشدار
  7. نظارت بر فعالیت کاربر
  8. نظارت بر یکپارچگی فایل
  9. و غیره.

سناریوی استقرار نیز می تواند متنوع باشد و بستگی به مقیاس / دامنه استقرار و نحوه گردآوری داده ها نیز به این سناریو بستگی دارد. به عنوان مثال می توان بعضی از موارد زیر را ذکر کرد:

  • جمع آوری ورودی ها را در مکان های منبع و سرور مرکزی مجله برای ذخیره کردن سیاهههای مربوطه. سپس فقط سیاهههای مربوط به امنیت را به پایگاه داده SIEM ارسال کنید – فقط سیاهههای مربوطه در پایگاه داده SIEM ذخیره خواهند شد و استراحت در سرور log log central خواهد بود

  • جمع آوری، ذخیره و پردازش کل سیاهههای مربوط در پایگاه داده SIEM – که در آن کل سیاهههای مربوط در SIEM ذخیره می شود

یک سیاهه جمع آوری و پردازش برای هر تامین کننده SIEM منحصر به فرد است زیرا اکثر آنها اتصالات / قالب های خود (یا فرمت های پشتیبانی شده پشتیبانی) برای منابع / همه فروشندگان SIEM شما لیستی از دستگاه های پشتیبانی شده و هر وسیله ای را که در این لیست نیست به صورت دستی متصل می شوند، ارائه می دهند، جایی که تامین کننده SIEM ممکن است به شما در تهیه پیش نویس اتصال خود کمک کند.

شما ممکن است لینک های زیر را برای فروشنده SIEM پشتیبانی کنید لیست دستگاه ها (اتصال ها به راحتی در دسترس هستند):

https://www.scribd.com/document/60264371/LogRhythm-Supported-Products-List

اکثر تامین کنندگان SIEM راه خود را برای ذخیره سازی سیاهههای مربوط (داده ها فرمت به ساختار جدول ممکن است متفاوت باشد) بسیاری از آنها سیاهه های دریافت شده را پردازش می کنند و تبدیل به ساختار می شوند که پلتفرم اصلی آن می تواند درک کند.

اتصال دهنده ها / قالب های مذکور برای تبدیل فرمت منبع بومی به فرمت قابل درک SIEM مورد استفاده قرار می گیرند

امیدوارم این نگرانی شما را روشن کند …

نوشته‌شده در

رمزهای عبور – IP Logs در LinkedIn

خلاصه داستان کوتاه، مدیر عامل شرکت در شرکت من اخراج شد اما وضعیت او در LinkedIn در مورد اینکه در شرکت من مشغول به کار نبود تغییر نکرده بود. من نامه های متعددی فرستادم که بی جواب مانده بودند. پس از 9 ماه من یک رمز عبور جدید درخواست کردم (همانطور که حساب کاربری LinkedIn به ایمیل کار قبلی خود متصل بود که متعلق به شرکت من است) و وضعیت اشتغال را تغییر داد. این همه چیزی است که من انجام دادم، و بلافاصله پس از آن من ایمیل خود را برای توضیح آنچه که انجام داده ام و رمز عبور جدید فرستاده ام.

او از این موضوع خوشش نیامد و شکایت پلیس را مطرح کرد که منجر به دستگیری مجدد حساب شخصی کسی شده است. (اتهامات جنایی) کل موارد شوخی بزرگی است. من گناه را متعهد می دانم زیرا هیچ چیز برای پنهان کردن ندارم و توضیح دادم که چرا من این کار را انجام دادم (و از VPN ها و غیره استفاده نکردم تا آهنگ ها را استفاده کنم). 19659002 اما اکنون دادستان دو حساب من را هک می کند. با توجه به IP ورودی که از LinkedIn دریافت کرده اند، دو log از همان آدرس IP (معدن) با 9 دقیقه تفاوت زمان وجود دارد. من این سایت را دوبار وارد نکرده ام و بنابراین برای ثبت دومین متعهد نشده ام.

چگونه می توانم بی گناهی خود را اثبات کنم؟ برای مثال می توان آن را هنگامی که شما بین برنامه ها در کامپیوتر قرار می گیرید چند بار ثبت می کنید یا اگر برای مدتی غیرفعال باقی بمانید (به عنوان مثال تماس تلفنی) و سپس ادامه دهید …

هر گونه کمک بسیار قدردانی می شود .. [19659006]

نوشته‌شده در

رمزهای عبور – مزایای ثبت نام نام کاربری یک تلاش احراز هویت ناموفق چیست؟

گاه گاه بعضی از کاربران به اشتباه می توانند رمز عبور خود را در فیلد نام کاربری وارد کنند، زیرا آنها کلید Tab را از دست دادند یا به این دلیل که فکر می کردند که حسابشان به سادگی قفل شده و از سیستم خارج نشده است (به عنوان مثال ویندوز).

با توجه به برخی سوالات در این سایت، اگر کلمه عبور از تلاش احراز هویت ناموفق نباید وارد شود، نام کاربری اغلب می باشد.
این سوال حتی بیان می کند که:

به نظر منطقی است که کسی (حتی یک مدیر امنیتی آگاه) ورود به سیستم نام کاربری ها را هر دو مفید و ایمن نامید.

چگونه آن را مفید یا امن است؟
آیا مزایای دیگر خود را برای ثبت نام نام کاربری یک تلاش احراز هویت ناموفق انجام می دهند؟

نوشته‌شده در

ورود به سیستم هنگامی که کاربران به یک VPN وصل می شوند

ما یک VPN راه اندازی کرده ایم که اجازه می دهد تا کارکنان به دفتر و کار از راه دور متصل شوند. آنچه که من باید انجام دهم این است که وقتی اتصال و قطع ارتباط را وارد می کنید وارد شوید، اعلامیه ایده آل است، اما ورود به سیستم باید

چگونه می توانم در مورد ورود به سیستم این اطلاعات را انجام دهم؟ من در پنجره های رویداد ویندوز در کنترل کننده دامنه نگاه کرده ام که رویداد احراز هویت را نشان می دهد، اگر هیچ چیز دیگری نیست، اما سیاهههای مربوطه بزرگ هستند و به طور خودکار خود را از دست می دهند تاریخ را بازنویسی می کنند. من برای خدمات مختلف RAS که در سایر مقالات ذکر شده وجود ندارد.

این فقط یک سرور اختصاصی ویندوز سرور 2012 VPN است، ما یک ارائه دهنده DDNS داریم که روی روتر پیکربندی شده است، هیچ نرم افزار VPN به جز آنچه که در ویندوز ساخته شده است. من نمی توانم چیزی را در هر پنجره ی ویندوز یا رویداد مفید پیدا کنم و نمی توانم در هر نقطه برای پیکربندی آنچه وارد شده است، پیدا کنم. من به صورت آنلاین جستجو کرده ام و مقالاتی برای نسخه های قبلی ویندوز پیدا کرده ام که به سیاهههای مربوط به این سرور موجود نیستند.

اگر به این پاسخ پاسخ داده شود، خوشحال است که به دنبال نرم افزار شخص ثالث باشد، اما فقط چیزی است که می تواند (و گذشته است) ساخته شده به ویندوز و من از دست ندهید که چگونه آن را پیکربندی کنید.

فقط روشن است که هیچ خطایی یا مسائل مربوط به اتصال وجود ندارد من فقط سعی دارم وقتی افراد پیوسته و قطع شوند پیگیری کنم.

هر گونه پیشنهاد از شما سپاسگزارم دریافت کرد