Inleiding In de complexe wereld van IT-beveiliging is forensisch onderzoek een kritische discipline die helpt bij het ontrafelen van de mysteries achter cyberaanvallen en beveiligingsinbreuken. Een onderschatte held in dit scenario is ‘centrale logging’ – een goudmijn voor forensische data-analyse. Deze blog duikt in de essentie van centrale logging en [...]
Op het moment dat de logboeken in de gecentraliseerde logging tool worden opgenomen worden ze read-only bewaard.
Laten we denken als een hacker. Wanneer een hacker met succes een server hackt, is een van de eerste dingen die de hacker denkt: “Ik moet de stappen wissen die mij kunnen traceren”.
De gemakkelijke manier is het wissen van alle logbestanden die de server heeft gegenereerd vanaf het moment dat de hacker verbinding heeft gemaakt met de server. Nu is het bijna onmogelijk om de hacker op te sporen via de lokale logbestanden op de server.
Laten we het scenario veranderen. Dit keer is er een Centrale Logging Oplossing binnen de IT-infrastructuur, die logboeken van de servers ophaalt en bewaard. Als dezelfde hacker de lokale logbestanden op de aangevallen server wilt verwijderen, maakt het niet meer uit. Op het moment dat de server de logs genereert worden ze op milliseconde nauwkeurigheid naar de Centrale Logging Tool gestuurd. Zelfs als de hacker op de een of andere manier toegang heeft gekregen tot de interface van de Logging Tool, kan hij de logs niet verwijderen. Ze zijn read-only.
