Log de Eventos: aplicação de um modelo de análise de logs para auditoria de registro de eventos

Detalhes bibliográficos
Ano de defesa: 2017
Autor(a) principal: SILVA, Luiz Hamilton Roberto da
Orientador(a): Não Informado pela instituição
Banca de defesa: Não Informado pela instituição
Tipo de documento: Dissertação
Tipo de acesso: Acesso aberto
Idioma: por
Instituição de defesa: Universidade Federal de Pernambuco
UFPE
Brasil
Programa de Pos Graduacao em Ciencia da Computacao
Programa de Pós-Graduação: Não Informado pela instituição
Departamento: Não Informado pela instituição
País: Não Informado pela instituição
Palavras-chave em Português:
Ciência da computação
Auditoria de logs
Link de acesso: https://repositorio.ufpe.br/handle/123456789/27515
Resumo: A análise do registro de eventos – conhecido como logs – em equipamentos e sistemas computacionais é útil para a identificação de atacantes, para delinear o modo de ataque e, também, para identificar quais são as falhas que foram exploradas. Há alguns trabalhos e pesquisas que demonstram a vantagem para uma política de segurança da informação em manter os logs de comunicação em redes e sistemas computacionais, focando nas trilhas para auditoria, que é um conjunto de ações onde se inclui: a coleta, o armazenamento e o tratamento dos logs de equipamentos, de aplicações e de sistemas operacionais, dentro de um sistema de computação. A auditoria de eventos atua na coleta de elementos que possam individualizar comportamentos perigosos de usuários, internos ou externos, ou eventos de sistema que possam vir a comprometer o uso aceitável dos recursos computacionais ou a quebra da tríade da segurança da informação: a confidencialidade, a integridade e a disponibilidade. Percebe-se que, dentro do modelo de política de segurança adotado nos centros de operação (datacenters) dos Institutos Federais de Educação, em sua imensa maioria, não utilizam o recurso de servidor de logs, ou tão somente atêm-se ao registro de eventos em seus sistemas e hosts, de forma individual e, sem o contexto da centralização e do tratamento dos registros dos eventos. A coleta dos logs, na modalidade loghost centralizado guarda, em um único repositório, os registros de eventos de diversos sistemas, equipamentos e serviços de rede, o que possibilitará uma análise do montante de logs adquiridos e a possibilidade de gerar trilhas de comportamento de usuários, além de permitir o cruzamento de informações conexas à autenticação de usuários. O recurso que permite a comunicação entre as aplicações, os sistemas operacionais e os equipamentos de rede, informando os eventos a serem registrados é o protocolo Syslog (system log), que é um padrão criado pela IETF para a transmissão de mensagens de log em redes IP. O objetivo maior deste trabalho é estabelecer um modelo para a análise e auditoria de logs, com o fim de identificar ações de usuários em uma rede com servidor de autenticação, aplicando a extração de informações úteis para o Gerenciamento da Segurança, elemento este levado a execução via o uso de scripts no formato PS1 (Windows PowerShell), atuando sobre os arquivos de logs dos Eventos de Segurança (Security.evtx) e gerando relatórios dos eventos relativos ao serviço de autenticação (Active Directory). Ressaltando que as funções implementadas pelos scripts não são disponibilizadas nativamente pelos sistemas Windows e, que o ferramental desenvolvido é de grande valor às atividades diárias do Administrador de Redes, concluindo-se que esta pesquisa apresenta um modelo de análise de logs para auditoria de registro de eventos.
id UFPE_199b5ec7173adce81aed25900ca543ed
oai_identifier_str oai:repositorio.ufpe.br:123456789/27515
network_acronym_str UFPE
network_name_str Repositório Institucional da UFPE
repository_id_str
spelling Log de Eventos: aplicação de um modelo de análise de logs para auditoria de registro de eventosCiência da computaçãoAuditoria de logsA análise do registro de eventos – conhecido como logs – em equipamentos e sistemas computacionais é útil para a identificação de atacantes, para delinear o modo de ataque e, também, para identificar quais são as falhas que foram exploradas. Há alguns trabalhos e pesquisas que demonstram a vantagem para uma política de segurança da informação em manter os logs de comunicação em redes e sistemas computacionais, focando nas trilhas para auditoria, que é um conjunto de ações onde se inclui: a coleta, o armazenamento e o tratamento dos logs de equipamentos, de aplicações e de sistemas operacionais, dentro de um sistema de computação. A auditoria de eventos atua na coleta de elementos que possam individualizar comportamentos perigosos de usuários, internos ou externos, ou eventos de sistema que possam vir a comprometer o uso aceitável dos recursos computacionais ou a quebra da tríade da segurança da informação: a confidencialidade, a integridade e a disponibilidade. Percebe-se que, dentro do modelo de política de segurança adotado nos centros de operação (datacenters) dos Institutos Federais de Educação, em sua imensa maioria, não utilizam o recurso de servidor de logs, ou tão somente atêm-se ao registro de eventos em seus sistemas e hosts, de forma individual e, sem o contexto da centralização e do tratamento dos registros dos eventos. A coleta dos logs, na modalidade loghost centralizado guarda, em um único repositório, os registros de eventos de diversos sistemas, equipamentos e serviços de rede, o que possibilitará uma análise do montante de logs adquiridos e a possibilidade de gerar trilhas de comportamento de usuários, além de permitir o cruzamento de informações conexas à autenticação de usuários. O recurso que permite a comunicação entre as aplicações, os sistemas operacionais e os equipamentos de rede, informando os eventos a serem registrados é o protocolo Syslog (system log), que é um padrão criado pela IETF para a transmissão de mensagens de log em redes IP. O objetivo maior deste trabalho é estabelecer um modelo para a análise e auditoria de logs, com o fim de identificar ações de usuários em uma rede com servidor de autenticação, aplicando a extração de informações úteis para o Gerenciamento da Segurança, elemento este levado a execução via o uso de scripts no formato PS1 (Windows PowerShell), atuando sobre os arquivos de logs dos Eventos de Segurança (Security.evtx) e gerando relatórios dos eventos relativos ao serviço de autenticação (Active Directory). Ressaltando que as funções implementadas pelos scripts não são disponibilizadas nativamente pelos sistemas Windows e, que o ferramental desenvolvido é de grande valor às atividades diárias do Administrador de Redes, concluindo-se que esta pesquisa apresenta um modelo de análise de logs para auditoria de registro de eventos.SETECThe analysis of the events log - known as logs - in equipment and computer systems, is useful for the attackers’ identification, to delineate the attack way and also to identify which faults have been exploited. There are some papers and researches that demonstrate the advantage of an information security policy in maintaining communication logs in networks and computer systems, focusing on the audit trails, which is a set of actions, which includes: collection, storage and the treatment of equipment logs, applications, operating systems, within a computer system. The audit of events, acts in the collection of elements that can individualize users dangerous behaviors, internal or external, or system events that may compromise the acceptable use of computing resources or the breakdown of the triad of information security: confidentiality, integrity and availability. It´s noticed that, in the security policy model, adopted in the operation centers (datacenters) at the Federal Institutes of Education, in their vast majority, they do not use the log server resource, or only they attend the record of events, in their systems and hosts, individually and without the context of centralization and processing of event logs. The collection of logs, in the host-based mode, stores in a single repository, the event logs of various systems, equipment and network services, which will allow an analysis of the amount of logs acquired, the possibility of generating user behavior trails and, the crossing of information related to user authentication. The resource for communication between applications, operating systems and network equipment, informing the events to be registered is the Syslog protocol (system log), it’s a standard created by the IETF, for the transmission of log messages in IP networks. The main goal of this work is to establish a model for the analysis and audit of logs, in order to identify actions of users in a network with authentication server, applying the extraction of useful information to the Security Management, element this led to execution through the use of scripts in the PS1 (Windows PowerShell) format, by acting on the Security Event log files (Security.evtx) and generating reports of events related to the authentication service (Active Directory). Note that the functions implemented by the scripts are not made available natively by Windows systems, and that the tooling developed is of great value to the daily activities of the Network Manager, and it is concluded that this research presents a log analysis model for event log audit.Universidade Federal de PernambucoUFPEBrasilPrograma de Pos Graduacao em Ciencia da ComputacaoFERRAZ, Carlos André Guimarãeshttp://lattes.cnpq.br/0191525072495482http://lattes.cnpq.br/7716805104151473SILVA, Luiz Hamilton Roberto da2018-11-14T21:49:58Z2018-11-14T21:49:58Z2017-07-14info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttps://repositorio.ufpe.br/handle/123456789/27515porAttribution-NonCommercial-NoDerivs 3.0 Brazilhttp://creativecommons.org/licenses/by-nc-nd/3.0/br/info:eu-repo/semantics/openAccessreponame:Repositório Institucional da UFPEinstname:Universidade Federal de Pernambuco (UFPE)instacron:UFPE2019-10-26T04:07:43Zoai:repositorio.ufpe.br:123456789/27515Repositório InstitucionalPUBhttps://repositorio.ufpe.br/oai/requestattena@ufpe.bropendoar:22212019-10-26T04:07:43Repositório Institucional da UFPE - Universidade Federal de Pernambuco (UFPE)false
dc.title.none.fl_str_mv Log de Eventos: aplicação de um modelo de análise de logs para auditoria de registro de eventos
title Log de Eventos: aplicação de um modelo de análise de logs para auditoria de registro de eventos
spellingShingle Log de Eventos: aplicação de um modelo de análise de logs para auditoria de registro de eventos
SILVA, Luiz Hamilton Roberto da
Ciência da computação
Auditoria de logs
title_short Log de Eventos: aplicação de um modelo de análise de logs para auditoria de registro de eventos
title_full Log de Eventos: aplicação de um modelo de análise de logs para auditoria de registro de eventos
title_fullStr Log de Eventos: aplicação de um modelo de análise de logs para auditoria de registro de eventos
title_full_unstemmed Log de Eventos: aplicação de um modelo de análise de logs para auditoria de registro de eventos
title_sort Log de Eventos: aplicação de um modelo de análise de logs para auditoria de registro de eventos
author SILVA, Luiz Hamilton Roberto da
author_facet SILVA, Luiz Hamilton Roberto da
author_role author
dc.contributor.none.fl_str_mv FERRAZ, Carlos André Guimarães
http://lattes.cnpq.br/0191525072495482
http://lattes.cnpq.br/7716805104151473
dc.contributor.author.fl_str_mv SILVA, Luiz Hamilton Roberto da
dc.subject.por.fl_str_mv Ciência da computação
Auditoria de logs
topic Ciência da computação
Auditoria de logs
description A análise do registro de eventos – conhecido como logs – em equipamentos e sistemas computacionais é útil para a identificação de atacantes, para delinear o modo de ataque e, também, para identificar quais são as falhas que foram exploradas. Há alguns trabalhos e pesquisas que demonstram a vantagem para uma política de segurança da informação em manter os logs de comunicação em redes e sistemas computacionais, focando nas trilhas para auditoria, que é um conjunto de ações onde se inclui: a coleta, o armazenamento e o tratamento dos logs de equipamentos, de aplicações e de sistemas operacionais, dentro de um sistema de computação. A auditoria de eventos atua na coleta de elementos que possam individualizar comportamentos perigosos de usuários, internos ou externos, ou eventos de sistema que possam vir a comprometer o uso aceitável dos recursos computacionais ou a quebra da tríade da segurança da informação: a confidencialidade, a integridade e a disponibilidade. Percebe-se que, dentro do modelo de política de segurança adotado nos centros de operação (datacenters) dos Institutos Federais de Educação, em sua imensa maioria, não utilizam o recurso de servidor de logs, ou tão somente atêm-se ao registro de eventos em seus sistemas e hosts, de forma individual e, sem o contexto da centralização e do tratamento dos registros dos eventos. A coleta dos logs, na modalidade loghost centralizado guarda, em um único repositório, os registros de eventos de diversos sistemas, equipamentos e serviços de rede, o que possibilitará uma análise do montante de logs adquiridos e a possibilidade de gerar trilhas de comportamento de usuários, além de permitir o cruzamento de informações conexas à autenticação de usuários. O recurso que permite a comunicação entre as aplicações, os sistemas operacionais e os equipamentos de rede, informando os eventos a serem registrados é o protocolo Syslog (system log), que é um padrão criado pela IETF para a transmissão de mensagens de log em redes IP. O objetivo maior deste trabalho é estabelecer um modelo para a análise e auditoria de logs, com o fim de identificar ações de usuários em uma rede com servidor de autenticação, aplicando a extração de informações úteis para o Gerenciamento da Segurança, elemento este levado a execução via o uso de scripts no formato PS1 (Windows PowerShell), atuando sobre os arquivos de logs dos Eventos de Segurança (Security.evtx) e gerando relatórios dos eventos relativos ao serviço de autenticação (Active Directory). Ressaltando que as funções implementadas pelos scripts não são disponibilizadas nativamente pelos sistemas Windows e, que o ferramental desenvolvido é de grande valor às atividades diárias do Administrador de Redes, concluindo-se que esta pesquisa apresenta um modelo de análise de logs para auditoria de registro de eventos.
publishDate 2017
dc.date.none.fl_str_mv 2017-07-14
2018-11-14T21:49:58Z
2018-11-14T21:49:58Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv https://repositorio.ufpe.br/handle/123456789/27515
url https://repositorio.ufpe.br/handle/123456789/27515
dc.language.iso.fl_str_mv por
language por
dc.rights.driver.fl_str_mv Attribution-NonCommercial-NoDerivs 3.0 Brazil
http://creativecommons.org/licenses/by-nc-nd/3.0/br/
info:eu-repo/semantics/openAccess
rights_invalid_str_mv Attribution-NonCommercial-NoDerivs 3.0 Brazil
http://creativecommons.org/licenses/by-nc-nd/3.0/br/
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.publisher.none.fl_str_mv Universidade Federal de Pernambuco
UFPE
Brasil
Programa de Pos Graduacao em Ciencia da Computacao
publisher.none.fl_str_mv Universidade Federal de Pernambuco
UFPE
Brasil
Programa de Pos Graduacao em Ciencia da Computacao
dc.source.none.fl_str_mv reponame:Repositório Institucional da UFPE
instname:Universidade Federal de Pernambuco (UFPE)
instacron:UFPE
instname_str Universidade Federal de Pernambuco (UFPE)
instacron_str UFPE
institution UFPE
reponame_str Repositório Institucional da UFPE
collection Repositório Institucional da UFPE
repository.name.fl_str_mv Repositório Institucional da UFPE - Universidade Federal de Pernambuco (UFPE)
repository.mail.fl_str_mv attena@ufpe.br
_version_ 1856041915138441216

Registros relacionados