سجل الأحداث: استغلال الأحداث وسجلات النقاط النهائية من أجل الأمان.

سجل الأحداث هو ملف يحتوي على معلومات حول استخدام وأنشطة أنظمة التشغيل والتطبيقات أو الأجهزة. يمكن للمتخصصين في الأمن أو الأنظمة الأمنية الآلية مثل SIEMs الوصول إلى هذه البيانات لإدارة الأمان والأداء وحل مشكلات تكنولوجيا المعلومات.

في المؤسسة الحديثة، مع العدد الكبير والمتزايد من أجهزة النقاط النهائية، والتطبيقات، والخدمات، لم يعد من الممكن إدارة الأمان وعمليات تكنولوجيا المعلومات من خلال مراقبة الشبكة فقط. تعتبر سجلات الأحداث، وبشكل خاص سجلات النقاط النهائية، ذات أهمية حاسمة.

مقدمة في سجلات الأحداث وسجلات الأمان

تُسجل الأحداث التي تحدث في الأجهزة النهائية أو أنظمة تكنولوجيا المعلومات عادةً في ملفات السجل. تسجل أنظمة التشغيل الأحداث باستخدام ملفات السجل. كل نظام تشغيل يستخدم ملفات سجل خاصة به، كما أن التطبيقات والأجهزة أيضًا تولد سجلات. يمكن لفرق الأمان استخدام سجلات الأمان لتتبع المستخدمين على الشبكة المؤسسية، وتحديد الأنشطة المشبوهة، واكتشاف الثغرات.

تجد معظم منظمات الأمن وتكنولوجيا المعلومات أن الأنظمة تولد معلومات سجلات أكثر مما يمكنها معالجته. تساعد أدوات إدارة الأحداث والسجلات في تحليل السجلات، ومراقبة الأحداث المهمة المسجلة فيها، واستغلالها لتحديد والتحقيق في الحوادث الأمنية.

المفاهيم الأساسية لإدارة السجلات

استخدام سجلات النقاط النهائية للأمان

مع تزايد استخدام أجهزة نقاط النهاية، والتي تشمل العديد من اللابتوبات والهواتف أو الأجهزة المحمولة الأخرى، أصبحت سجلات نقاط النهاية أكثر أهمية للأمان. يمكن للمهاجمين الذين يحصلون على وصول إلى جهاز نقطة النهاية استخدامه لاختراق شبكتك. لذلك، من الضروري جمع البيانات من سجلات نقاط النهاية وتحديد الأنشطة الضارة أو غير المصرح بها.

استخدام سجلات أحداث ويندوز للأمان

يسجل نظام تشغيل ويندوز الأنشطة المتعلقة بالبرمجيات أو مكونات الأجهزة. يمكن للمسؤولين الوصول إلى هذه المعلومات لاكتشاف المشكلات وحلها. تُستخدم ست فئات افتراضية لتصنيف الأحداث:

• سجل التطبيق– الأحداث المسجلة بواسطة التطبيقات. يحدد المطورون الأحداث المسجلة بواسطة تطبيقهم. يمكن للتطبيق تسجيل المعلومات من عدة مصادر. من المهم ملاحظة المصدر بجانب معرف الحدث.
• سجل النظام– الأحداث المسجلة بواسطة نظام التشغيل. على سبيل المثال، المشكلات التي يواجهها السائقون أثناء عملية بدء التشغيل.
• سجل الأمان– الأحداث المتعلقة بالأمان، بما في ذلك محاولات تسجيل الدخول أو حذف الملفات. يحدد المدراء الأحداث التي يجب إدخالها في سجل الأمان الخاص بهم، وفقًا لسياسة التدقيق الخاصة بهم.
• سجل خدمة الدليل– يسجل عمليات الدليل النشط مثل المصادقة وتعديل الامتيازات. متاح فقط على وحدات تحكم المجال.
• سجل خادم DNS– يسجل نشاط DNS. متاح فقط على خوادم DNS.
• سجل خدمة تكرار الملفات– يسجل تكرار وحدة التحكم في المجال، متاح فقط على وحدات التحكم في المجال.

يمكن استخدام نظام ويندوز المسمى "عارض الأحداث" لعرض سجلات الأحداث عبر جميع الفئات المذكورة أعلاه. يعرض عارض الأحداث معلومات عن الحدث، بما في ذلك التاريخ والوقت، واسم المستخدم، والكمبيوتر، والمصدر، والنوع.

أنواع أحداث سجل الأمان

بينما يمكن أن تكون جميع أنواع الأحداث ذات صلة في التحقيق في حادث أمني، فإن سجلات الأمان لها أهمية خاصة. يقوم نظام ويندوز بإنشاء إدخال في سجل الأمان عند محاولات تسجيل الدخول، ويسجل معلومات إضافية إذا نجحت محاولة تسجيل الدخول. أنواع الأحداث المسجلة هي:

أحداث سجل ويندوز الشائعة المستخدمة في التحقيقات الأمنية

إليك بعض رموز الأحداث الشائعة على ويندوز 7/فيستا/8/10 وويندوز سيرفر 2008/2012R2/2016/2019 (الإصدارات السابقة من ويندوز تحتوي على رموز مختلفة)، والتي تُستخدم عادةً في التحقيقات الأمنية:

استخدام سجلات أحداث لينوكس للأمان

يخزن نظام تشغيل لينوكس سجلًا زمنيًا للأحداث المتعلقة بالخادم والنواة والتطبيقات التي تعمل. الفئات الرئيسية للسجلات هي:

• سجلات التطبيقات
• سجلات الأحداث
• سجلات الخدمة
• سجلات النظام

هناك عدة طرق لرؤية السجلات في لينوكس:

• الوصول إلى الدليلcd/var/logتُخزَّن أنواع السجلات المحددة في مجلدات فرعية تحت مجلد السجلات، على سبيل المثال،var/log/syslog.
• استخدمdmsegأمر لتصفح جميع سجلات النظام.
• استخدمtailالأمر، الذي يعرض آخر الأسطر المكتوبة في ملف سجل معين، حيث تُوجد عادةً المشاكل. على سبيل المثالtail -f /var/log/syslogيطبع السطر التالي المكتوب في الملف، مما يتيح لك متابعة التغييرات في ملف السجل (syslog) كما تحدث.

فيما يلي ملفات السجل المستخدمة بشكل شائع في لينكس:

• /var/log/syslog أو /var/log/messages– سجلات نشاط النظام العامة. تُستخدم للكشف عن المشكلات التي قد تحدث أثناء بدء التشغيل أو لعزل أخطاء خدمات التطبيقات. تخزن أنظمة RedHat المعلومات في مجلد الرسائل بينما تخزن أنظمة Debian المعلومات في مجلد syslog.
• /var/log/auth.log أو /var/log/secure– جميع سجلات المصادقة والتفويض. تُستخدم للتحقيق في محاولات تسجيل الدخول الفاشلة. تخزن أنظمة RedHat هذه في مجلد auth.log بينما تخزن أنظمة Debian هذه في مجلد secure.
• /var/log/kern.log– سجلات نشاط النواة، بما في ذلك النوى المخصصة.
• /var/log/faillog– محاولات تسجيل الدخول الفاشلة.
• /var/log/maillog أو var/log/mail.log– سجلات تتعلق بخوادم البريد. تُستخدم لتتبع المشكلات مثل الرسائل الإلكترونية التي تم وسمها كرسائل غير مرغوب فيها، والاستخدام المشبوه لـ postfix أو smtpd.

ما البيانات التي يجب أن تركز عليها في التحقيق الأمني لسجلات أحداث لينوكس؟

قم بإجراء تقييم للمخاطر لأنظمة لينكس في مؤسستك، وحدد مستوى التسجيل الذي تحتاجه، وكيف يجب مراجعة السجلات، وأي أحداث سجلات يجب أن تولد تنبيهات أمنية. في معظم الحالات، ستحتاج إلى تسجيل المعلومات التالية حول نظام لينكس لأغراض الأمان:

• معرفات المستخدم والمحطة
• محاولات تسجيل الدخول وتسجيل الخروج من قبل المستخدمين
• أي محاولات للوصول إلى الأنظمة أو البيانات أو التطبيقات أو الملفات أو الشبكات، سواء على الجهاز المحلي أو عبر الشبكة المحلية أو الشبكة الواسعة.
• تغييرات في إعدادات لينوكس
• تشغيل العمليات القابلة للتنفيذ على الجهاز
• استخدام أدوات النظام
• أحداث متعلقة بالأمن، تفعيل أو تعطيل أدوات الأمان.

استخدام تسجيل الأحداث في نظام iOS لأغراض الأمان

نظام iOS لا يسجل الأحداث، ولكنه يسجل تقارير الأعطال الخاصة بالتطبيقات. يوفر iOS 10.0 وما بعده واجهة برمجة تطبيقات (API) يمكن استخدامها لتسجيل أحداث التطبيقات. يمكنك استخدام تقارير الأعطال وواجهة برمجة التطبيقات للتسجيل للعثور على الأخطاء والتحقيق فيها التي تولدها تطبيقاتك، سواء أثناء التطوير أو في الإنتاج.

تأتي أجهزة iOS مع ميزات أمان خاصة بها، تم تنفيذها في كل من الأجهزة والبرمجيات. توفر واجهة برمجة التطبيقات الخاصة بالتسجيل الوصول إلى البيانات التي تم إنشاؤها بواسطة هذه الميزات الأمنية. تشمل هذه الميزات:

• تشفير البيانات– يحمي كل من البيانات الشخصية والتجارية من الاستخدام غير المصرح به.
• أمان التطبيقات– يتحقق من أمان تطبيقات iOS.
• أمان الشبكة– يوفر للمطورين بروتوكولات للمصادقة الآمنة ونقل البيانات المشفرة.
• Apple pay– يمكن استخدام أجهزة iOS للدفع بشكل آمن. لا يتم جمع معلومات تعريفية.
• خدمات الإنترنت– يوفر نظام iOS مجموعة متنوعة من الخدمات الآمنة، مثل iMessage وiCloud Backup.
• إدارة كلمات مرور المستخدم– طرق المصادقة مثل ملء كلمة المرور تلقائيًا باستخدام سلسلة المفاتيح. لا يمكن للتطبيقات الوصول إلى هذه المعلومات دون إذن من المستخدم.
• أدوات التحكم في الأجهزة– أدوات الإدارة التي تمكن من تنفيذ إجراءات مثل مسح الأجهزة المسروقة عن بُعد.
• ضوابط الخصوصية– يمكن للمستخدمين تحديد التطبيقات التي يمكنها الوصول إلى المعلومات.

استخدام تسجيل الأخطاء في أندرويد لأغراض الأمان

يقدم نظام أندرويد منصة توفر الوصول إلى جميع سجلات النظام والتطبيقات، بما في ذلك السجلات من برنامج تشغيل النواة، ولغات البرمجة C وC++ وJava. توفر المنصة تطبيقات لمشاهدة وتصفية رسائل السجل.

أنواع سجلات أندرويد

• سجل التطبيق– يستخدم تطبيق أندرويدandroid.util.Logفئة لإنشاء رسائل السجل. يمكن للتطبيقات تعيين مستويات السجل أو "شدة" الرسالة، وعلامات وصفية، لتمكين تصفية السجلات والتنبيه.
• سجل الأحداث– يتم إنشاء الرسائل باستخدامandroid.util.EventLogفئة تستخدم رسائل السجل بتنسيق ثنائي. تتكون إدخالات السجل من رموز علامات ثنائية، ومعلمات ثنائية، وسلسلة رسالة سجل. يتم تخزين رموز الرسائل في/system/etc/event-log-tags.
• سجل النظام– تستخدم الفئات في إطار عمل أندرويد سجل النظام لفصل رسائلها عن سجلات التطبيقات. تقوم فئات أندرويد بتسجيل المعلومات باستخدامandroid.util.Slog class.

تسجيل البيانات الحساسة

• انتبه إلى كيفية تعامل مؤسستك مع بيانات المستخدمين. في نظام أندرويد، يتم مشاركة السجلات مع التطبيقات التي لديها إذن READ_LOGS، مما يعني أنه يمكنك تسريب بيانات المستخدمين بشكل غير مقصود إلى تطبيقات أخرى.
• احتفظ ببيانات المستخدمين إلى الحد الأدنى. يمكنك القيام بذلك من خلال تجنب تخزين أو نقل المعلومات الشخصية القابلة للتعريف. يجب ألا تصل المكونات الخارجية إلى بيانات المستخدمين إذا لم يكن لديها سبب للقيام بذلك.
• إذا كانت التطبيقات بحاجة إلى الوصول إلى البيانات، فقم بتوفير الوصول المباشر عبر العميل. بهذه الطريقة، لا يتعين نقل البيانات إلى خوادم أخرى.

سجلات إضافية يجب أن تفكر في مراقبتها

بجانب مصادر السجلات الشائعة المذكورة أعلاه، هناك العديد من أنظمة المؤسسات وأدوات الأمان الأخرى التي تولد سجلات. جميعها قد تحمل تداعيات أمنية. ومع ذلك، من الضروري تحديد أولويات السجلات للمراقبة من قبل المحللين، حيث أن العديد من المنظمات تعاني من نقص في القوى البشرية في مجال الأمن.

فيما يلي قائمة بأغلب مصادر السجلات والمعلومات الشائعة التي قد تواجهها في منظمتك. اختر أهم المصادر التي سيتابعها فريق الأمان لديك بانتظام.

إدارة معلومات الأمان والأحداث (SIEM) والتسجيل

تسجيل SIEM هو عملية تجميع ومراقبة السجلات لأغراض أمنية. تُستخدم أنظمة SIEM من قبل فرق الأمن لجمع بيانات الأحداث من أنظمة تكنولوجيا المعلومات وأدوات الأمن عبر المؤسسة، واستخدامها لتحديد السلوك المشبوه الذي قد يدل على وقوع حادث أمني.

تشمل الأحداث الشائعة المتعلقة بالأمان التي يتم تتبعها بواسطة نظام إدارة معلومات الأمان (SIEM):

• تنبيه من برنامج مكافحة الفيروسات أو حماية النقاط النهائية بشأن إصابة ببرمجيات خبيثة.
• تنبيه من نظام البريد الإلكتروني حول الرسائل غير المرغوب فيها أو المحتوى الضار في بريد إلكتروني.
• تنبيه جدار الحماية حول حركة مرور الشبكة المحجوبة
• الاتصال بنظام من مضيف أو عنوان IP غير معروف.
• محاولات تسجيل الدخول الفاشلة، خاصة إذا كانت متكررة أو مستهدفة لأنظمة حيوية.
• تغيير في صلاحيات المستخدم، خاصة تصعيد الصلاحيات.
• استخدام موانئ جديدة أو غير معروفة، أو بروتوكولات غير آمنة أو تنتهك سياسة الأمان.

الكشف عن الحوادث الأمنية باستخدام قواعد الترابط

تقليديًا، كانت أنظمة إدارة معلومات الأمان (SIEM) تولد تنبيهات من السجلات باستخدام قواعد الترابط. تحدد قاعدة الترابط سلسلة من الأحداث وقيم سجلات محددة أو نطاقات من القيم التي قد تشير إلى تهديد أمني (على سبيل المثال، ثلاث محاولات تسجيل دخول فاشلة أو أكثر). طريقة أخرى لاستخراج المخاطر الأمنية من السجلات هي تحليل الثغرات حيث يمكن للماسحات الآلية فحص الشبكات بحثًا عن ثغرات برمجية يمكن أن يستهدفها المهاجمون، وبعض هذه الفحوصات تعتمد على السجلات.

كشف الحوادث الأمنية باستخدام التحليلات السلوكية

تستخدم تقنية SIEM من الجيل التالي تحليلات سلوك المستخدمين والأحداث (UEBA) لإنشاء خط أساسي سلوكي للمستخدمين والكيانات الأخرى على الشبكة، مثل الخوادم، ونقاط النهاية أو التطبيقات. يمكن لمحرك التحليلات السلوكية مراقبة السلوك وتحديد ما إذا كان ينحرف عن الخط الأساسي، أو بعبارة أخرى، إذا كان هناك شيء "يبدو مختلفًا"، حتى لو لم يكن بالإمكان تعريفه بواسطة قاعدة ارتباط صارمة. إذا كانت الانحرافات كبيرة بما يكفي وتبدو أنها تشير إلى خطر أمني، فإن نظام UEBA يرفع تنبيهاً. يمكن أن يساعد ذلك في اكتشاف التهديدات الداخلية، والاحتيال، والتهديدات المستمرة المتقدمة (APT)، وغيرها من تقنيات الهجوم المتطورة التي يمكن أن تتجاوز بسهولة الكشف القائم على قواعد الارتباط. لمثال على SIEM من الجيل التالي مع UEBA مدمج، انظر التحليلات المتقدمة من Exabeam.