Vigilância dos diários de acontecimentos (registos)

Janeiro 2017

A análise dos registos

Um dos melhores meios para detectar as intrusões consiste em supervisionar os registos de acontecimentos (chamados também diários de actividade ou, em inglês, logs).

Com efeito, geralmente os servidores armazenam, em ficheiros, um vestígio da sua actividade e em especial dos erros encontrados.

Ora, aquando de um ataque informático é raro que o pirata consiga comprometer um sistema à primeira. Age na maior parte do tempo à cegas, tentando diferentes pedidos.

Assim, a vigilância dos registos permite detectar uma actividade suspeita. É particularmente importante supervisionar os registos de actividade dos dispositivos de protecção porque por muito bem configurados que estejam, podem ser um dia alvo de um ataque.

Noção de barulho

Na realidade, não é fácil distinguir os alertas reais dos ataques automáticos efectuados pelosvermes rede, os vírus e os instrumentos como os analisadores de vulnerabilidades.

Assim, a maior parte dos ataques sofridos por um servidor são ataques que não podem em nenhum caso comprometer o sistema (por exemplo, ataques de servidores web Microsoft IIS contra servidores sob Linux com Apache).

Isso provoca, no entanto, alertas inúteis, provocando o que se chama de “ barulho”, impedindo focalizar-se sobre os verdadeiros alertas.

Artigo redigido a 22 de Julho de 2005 por Jean-François PILLOU

Veja também


Monitoring event logs
Monitoring event logs
Sobre CCM.net
Sobre CCM.net
Surveillance des journaux d'événements (logs)
Surveillance des journaux d'événements (logs)
Sorveglianza dei log d'eventi
Sorveglianza dei log d'eventi
Última modificação: 24 de julho de 2009 às 06:48 por owliance.pt_004.
Este documento, intitulado 'Vigilância dos diários de acontecimentos (registos)', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.