証明されたログファイルが改ざんされていませんか?
ログインページでのブルートフォース攻撃を示すいくつかのApacheログがあるとします。私はIPを選び出し、犯人が誰であるかを見つけました。 makeupこれらのログのエントリを第三者に見せるにはどうすればよいですか?
ハッシュの手段、またはログが何らかの方法で編集されていないことをシステム検証によって体系的に証明する方法はありますか?
上記で示したシナリオは、純粋に仮説です。しかし、どういうわけかそのようなログを検証できるかどうか疑問に思っていました。
免責事項:私は弁護士ではありません。
これにもかかわらず、私は一般的なルールを知っています:誰も自分自身の証明になることはできません。つまり、システムでログが生成された場合、それを確実な証拠として使用することはできません。たとえば、somethingに署名するなど、それに関与するサードパーティが常に必要です。たとえば、特定の時間(たとえば1日に1回)にログファイルを処理し、サードパーティのサービスを使用して 信頼できるタイムスタンプ を提供できます。
それでも、ログファイルが正確であることは証明されませんが、タイムスタンプを受信してから変更されていないことがわかります。
それがあなたのユースケースに当てはまるかどうかはわかりませんが、これが私が想像できる唯一の方法です...
いいえあなたのシステムのログオンが改ざんされていないことを他人に証明することはできません。明らかに、その特定のシステムを所有している場合は、すべてのファイルの操作を含め、システムで好きなことができます。
結局、それは信頼の問題です。したがって、そのサードパーティは、データを信頼するために必要なものを定義する必要があります。彼らの可能な解決策は、サーバーとインターネットの間にサードパーティのシステムを配備して、ネットワークトラフィック自体を監視できるようにすることです。
ただし、ファイルの整合性を定期的にチェックするツールはありますが、これらのツールは通常、構成ファイルなどの静的ファイルの内容を目的としており、ログファイルにはおそらく適用されません。それでも、彼らがその仕事をするなら、彼らはまだあなたのシステムで走り、信頼の範囲を変えないでしょう、第三者は受け入れる必要があります。
管理者の間には信頼関係があるはずですが、システムが侵害されるたびに同じ質問が投げかけられます。攻撃者がシステムへのrootアクセス権を取得した場合、ログファイルも改ざんされている可能性があります。
すべてのログを吸収するだけで、後でログシステムがログを変更したり読み取ったりできない別のログサーバーを用意します。または、異常の検出など、さらに多くの機能を備えたセキュリティ情報およびイベント管理(SIEM)。このアプローチにより、侵害が信頼される前のログが保証されます。
信頼できる独立した人物によって構成ファイルを監査し、チェックサムを取ります。構成が変更された場合は、再度監査します。これにより、ログレベルの低下を防ぎ、フェーズ1が失敗する可能性があります。チェックサムの不一致もアラートの追加のソースになります。
Esa Jokinenのポイントと同様に、ログを一元化して、ログを別のログサーバーまたはシステム(SIEM)に転送するなど、ログの集中化を確実に行うことで、これらのログが乱されていないことを最大限に証明できます。 、ログコレクターなどを使用してログを処理します。
さらに、これらのファイルのチェックサムの計算や後続のスキャン(設定された間隔)のような特定のパスでファイル整合性監視を実行して、これらのファイルのチェックサムの変更を再計算できます。そして、チェックサムの結果をログ集中サーバーに送信します。このログコレクターには、ファイルの完全性を監視するための module があり、 LogRhytm と、「トップXログモニタリングおよびログ収集ツール」に関するさまざまな投稿があります。ログの監視だけでなく、ログの収集(ログの集中化を行う)を実行できるスイートが必要です。
Threatpostはまた、2019年2月に、データ操作攻撃( here )に関する投稿と、ファイルの整合性の監視などの攻撃を軽減するためのアイデアを投稿しました。