Ինչու պետք է օգտագործեմ անվտանգության իրադարձությունների տեղեկամատյանները:

Դուք պետք է նախօրոք պլանավորեք, ձերբակալելու համար

Հուսով եմ, որ ձեր համակարգիչները պահվում եւ թարմացվում են, եւ ձեր ցանցը ապահով է: Այնուամենայնիվ, անխուսափելի է, որ դուք մի պահ կստանաք վնասակար գործունեություն ` վիրուս , ճիճու , տրոյական ձի, հափշտակություն կամ այլ կերպ: Երբ դա տեղի ունենա, եթե դուք ճիշտ բաներ եք արել նախքան հարձակումը, դուք կստանաք աշխատանքը որոշելու, թե երբ եւ ինչպես հարձակումը հաջողվեց այդքան հեշտ դարձնել:

Եթե ​​դուք երբեւէ դիտել եք հեռուստահաղորդումների CSI- ի կամ ընդհանրապես որեւէ այլ ոստիկանության կամ օրինական հեռուստատեսության շոուի մասին, գիտեք, որ նույնիսկ դատական ապացույցների ամենափոքր շերտով քննիչները կարող են բացահայտել, հետեւել եւ հալածել ոճրագործին:

Բայց դա լավ չէր լինի, եթե նրանք ստիպված չլինեին մանրաթելերի միջոցով գտնել մի մազ, որը փաստացի պատկանում էր հանցագործին եւ ԴՆԹ-ի փորձարկումը կատարել սեփական տիրոջ համար: Ինչ անել, եթե արձանագրված լինեին յուրաքանչյուր անձի մասին, ում հետ շփվեցին եւ երբ: Իսկ եթե կա գրություն, որը պահվում էր այդ անձի համար:

Եթե ​​դա այդպես է, ապա քննիչները նման են ՔՀԻ-ներին, կարող են լինել բիզնեսից դուրս: Ոստիկանությունը մարմինը կգտնի, ստուգեք արձանագրությունը, տեսնել, թե ով է վերջինը հանգուցյալի հետ շփվելը եւ ինչ է արել, եւ արդեն իսկ ունենալու է ինքնություն, առանց քանդելու: Սա այն է, ինչ մատնանշում է դատական ​​ապացույցների տրամադրման առումով, երբ ձեր համակարգչում կամ ցանցում վնասակար գործունեություն է լինում:

Եթե ​​ցանցի ադմինիստրատորը չի բացում գրանցումը կամ չի մուտքագրում ճիշտ իրադարձությունները, փորձաքննություն է անցկացնում դատական ​​ապացույցների հայտնաբերման համար, չճանաչված մուտքի կամ այլ վնասակար գործունեության ժամանակն ու ամսաթիվը կամ մեթոդը կարող են նույնքան դժվար լինել, որքան ասես ասես ասեղի որոնումը սմբակ: Հաճախ հարձակման արմատը երբեք չի հայտնաբերվել: Hacked կամ վարակված մեքենաներ մաքրվում են, եւ բոլորը վերադառնում են բիզնեսին, ինչպես սովորաբար, առանց իսկապես իմանալու, արդյոք համակարգերը պաշտպանված են ավելի լավ, քան նրանք, երբ նրանք առաջին անգամ հարվածել են:

Որոշ ծրագրեր մուտքագրվում են լռելյայն: Վեբ սերվերները, ինչպիսիք են IIS- ը եւ Apache- ը, հիմնականում գրանցում են բոլոր մուտքային երթեւեկությունը: Սա հիմնականում օգտագործվում է, թե որքան մարդ է այցելել վեբ կայքը, ինչ IP հասցեն օգտագործվել է եւ այլ չափանիշային տիպի տեղեկատվություն վեբ կայքի վերաբերյալ: Սակայն, CodeRed- ի կամ Nimda- ի նման որդերն էլ, վեբ տեղեկամատյանները կարող են նաեւ ցույց տալ, երբ վարակված համակարգերը փորձում են մուտք գործել ձեր համակարգը, քանի որ նրանք ունեն որոշակի հրամաններ, որոնք փորձում են ցույց տալ, թե արդյոք դրանք հաջող են, թե ոչ:

Որոշ համակարգեր ունեն տարբեր աուդիտորական եւ փորագրող գործառույթներ, որոնք ներկառուցված են: Դուք նաեւ կարող եք տեղադրել լրացուցիչ ծրագրեր համակարգչային համակարգում տարբեր գործողությունների մոնիտորինգի եւ մուտքագրման համար (տես այս հոդվածի աջակցության գործիքները ): Windows XP Professional- ի մեքենայում կան հաշիվների մուտք գործելու միջոցառումների աուդիտ, աուդիտի կառավարում, տեղեկատուի մուտքի թույլտվություն, մուտք գործելու իրադարձություններ, օբյեկտի մատչում, քաղաքականության փոփոխություն, արտոնությունների օգտագործում, գործընթացների հետեւում եւ համակարգային իրադարձություններ:

Յուրաքանչյուրի համար կարող եք ընտրել հաջողությունը, ձախողումը կամ ոչինչ: Օգտագործելով Windows XP Pro- ն որպես օրինակ, եթե թույլ չեք տվել օբյեկտի մուտք գործել որեւէ գրանցում, դուք որեւէ արձանագրություն չունեք, երբ ֆայլը կամ թղթապանակը վերջերս մուտք գործել է: Եթե ​​դուք միացված եք միայն ձախողումը, ապա դուք կունենաք մի ռեկորդ, երբ ինչ-որ մեկը փորձել է մուտք գործել ֆայլ կամ թղթապանակ, սակայն չկարողացան պատշաճ թույլտվություն կամ թույլտվություն չունենալու պատճառով, բայց դուք չունեիք ռեկորդ, երբ լիազորված օգտվողը մուտք է գործել ֆայլ կամ թղթապանակ .

Քանի որ հակերը շատ լավ կարող է օգտվել կոտրված մուտքային գաղտնաբառից եւ գաղտնաբառից, նրանք կարող են հաջողությամբ մուտք գործել ֆայլեր: Եթե ​​դուք դիտեք տեղեկամատյանները եւ տեսնենք, որ Բոբ Սմիթը կիրակի օրը, ժամը 3-ին ջնջել է ընկերության ֆինանսական հաշվետվությունը, կարող է անվտանգ լինել, ենթադրելով, որ Bob Smith- ն քնած էր եւ, թերեւս, նրա մուտքի եւ գաղտնաբառի փոխարեն: Ամեն դեպքում, դուք հիմա գիտեք, թե ինչ է պատահել ֆայլին, եւ երբ այն ձեզ հնարավորություն է տալիս ուսումնասիրել, թե ինչպես է տեղի ունեցել:

Թե ձախողումը, թե հաջողության գրանցումը կարող են օգտակար տեղեկատվություն եւ հուշումներ ապահովել, բայց դուք պետք է հավասարակշռեք ձեր մոնիտորինգի եւ գրանցման աշխատանքները համակարգի կատարողականությամբ: Մարդկային ռեեստրի օրինակից վերեւից օգտվելը դա կօգնի քննիչներին, եթե մարդիկ պահեն բոլորի մուտքերը, որոնք հետ են մտնում, եւ ինչ տեղի ունեցավ փոխազդեցության ժամանակ, բայց դա, անպայման, դանդաղեցրեց մարդկանց:

Եթե ​​դուք ստիպված լինեիք դադարեցնել եւ գրել, թե ով, ինչ եւ երբ ամեն օր հանդիպում էիք, որ ամբողջ օրվա ընթացքում դա կարող է խիստ ազդել ձեր արտադրողականության վրա: Նույնը վերաբերում է նաեւ համակարգչային գործունեության մոնիտորինգի եւ գրանցման գործընթացին: Դուք կարող եք միացնել ցանկացած հնարավոր ձախողման եւ հաջողության հաշվառման տարբերակ, եւ դուք կունենաք շատ մանրամասն ռեկորդային այն ամենի մասին, ինչ տեղի է ունենում ձեր համակարգչում: Այնուամենայնիվ, դուք կտրուկ ազդեցություն կգործեք, քանի որ պրոցեսորը զբաղված է գրառումներում 100 տարբեր գրառում կատարելու համար, ամեն անգամ, երբ ինչ-որ մեկը սեղմում է կոճակը կամ կտտացնում է նրանց մկնիկը:

Դուք պետք է կշռադատեք, թե ինչ տեսակի փայտամթերման օգտակար կլինի համակարգային աշխատանքի վրա ազդեցություն ունենալուց եւ հասնել այն հավասարակշռությանը, որը լավագույնս աշխատում է ձեզ համար: Դուք նաեւ պետք է հիշեք, որ շատ հակերների գործիքներ եւ տրոյական ձիու ծրագրեր, ինչպիսիք են Sub7- ը, ներառում են կոմունալ ծառայություններ, որոնք թույլ են տալիս փոփոխել տեղեկամատյան ֆայլերը `թաքցնել իրենց գործողությունները եւ թաքցնել ներխուժումը, որպեսզի դուք չեք կարող հենվել 100% մուտք ֆայլերին:

Դուք կարող եք խուսափել որոշակի առաջադրանքների եւ, հնարավոր է, hacker- ի գործիքի թաքցման հարցերից, հաշվի առնելով որոշ բաներ, հաշվի առնելով ձեր գրանցումները: Դուք պետք է չափեք, թե ինչպես մեծ ֆայլերը կստանաք եւ համոզվեք, որ առաջին հերթին բավականաչափ սկավառակի տարածություն ունեք: Դուք նաեւ պետք է քաղաքականություն ստեղծեք, թե արդյոք հին տեղեկամատյանները կվերագրվեն կամ ջնջվեն կամ, եթե ցանկանում եք արխիվները պահել ամենօրյա, շաբաթական կամ այլ պարբերական հիմունքներով, որպեսզի ավելի հին տվյալներ ունենաք, ինչպես նաեւ ետ նայել:

Եթե ​​հնարավոր է օգտագործել հատուկ կոշտ սկավառակ եւ / կամ կոշտ սկավառակի վերահսկիչ, ապա դուք կունենաք ավելի քիչ կատարողականի ազդեցություն, քանի որ գրանցամատյանները կարող են գրվել սկավառակի վրա, առանց պայքարելու այն ծրագրերի հետ, որոնք փորձում եք վազել drive- ին: Եթե ​​դուք կարող եք ուղղորդել մուտքագրված ֆայլերը առանձին համակարգչի համար, հնարավոր է նվիրված ֆայլերը պահելու եւ բոլորովին այլ անվտանգության պարամետրերով, հնարավոր է, որ կարողանաք արգելափակել մուտքի թույլտվությունը փոխելու կամ ջնջելու տեղեկամատյան ֆայլերը:

Վերջնական գրառումն այն է, որ չպետք է սպասել, քանի դեռ ուշ չէ, եւ ձեր համակարգը արդեն վթարի է ենթարկվել կամ զիջել նախքան լոգերի դիտումը: Լավ է պարբերաբար վերանայել տեղեկամատյանները, որպեսզի կարողանաք իմանալ, թե որն է նորմալ եւ հիմք: Այդ կերպ, երբ սխալ գրառումներ եք կատարում, դուք կարող եք ճանաչել դրանք որպես այդպիսին եւ ակտիվ քայլեր ձեռնարկել ձեր համակարգը կոշտացնելու համար, այլ ոչ թե հետաքննություն կատարելուց հետո: