Mövzu : Sübutların toplanması və qiymətləndirilməsi
Kibertəhlükəsizlikdə sübutların toplanması və qiymətləndirilməsi təhlükəsizlik insidentləri, pozuntular və ya şübhəli fəaliyyətləri başa düşmək və onlara cavab vermək üçün kritik proseslərdir. Bu proseslər insidentin əhatə dairəsini müəyyən etməyə, onu hücum edən tərəfə aid etməyəvə təhlükəni azaltmaq üçün müvafiq tədbirlər görməyə kömək edir.
Loglama və monitorinq təşkilatlara təhlükəsizlik təhdidlərini və insidentlərini aşkarlamağa, onlara cavab verməyə və onları azaltmağa kömək edən kibertəhlükəsizliyin vacib komponentləridir. Onlar şübhəli və ya zərərli davranışı müəyyən etmək üçün mühüm əhəmiyyət kəsb edən şəbəkə və sistem fəaliyyətlərinin görünməsini təmin edir. Logging şəbəkə və ya informasiya sistemi daxilində hadisələrin, fəaliyyətlərin və əməliyyatların sistematik qeydini əhatə edir. Bu qeydlər təşkilatın İT infrastrukturunda baş verənlərin ətraflı tarixini təqdim edir
Log mənbələri: Loglar firewalllar, müdaxilənin aşkarlanması sistemləri (IDS), müdaxilənin qarşısının alınması sistemləri (IPS), serverlər, marşrutlaşdırıcılar, açarlar və tətbiqlər də daxil olmaqla geniş cihaz və sistemlər tərəfindən yaradıla bilər.
Log növləri: Təhlükəsizlik qeydləri, sistem qeydləri, proqram qeydləri və s. daxil olmaqla müxtəlif növ qeydlər var. Hər bir jurnal növü öz mənbəyinə aid məlumatları ehtiva edir.
Log Formatları: Qeydlər mətn, JSON və ya XML kimi müxtəlif formatlarda ola bilər. Onlar tez-tez vaxt ştamplarını, hadisə təsvirlərini, mənbə IP ünvanlarını, istifadəçi məlumatlarını və digər müvafiq məlumatları ehtiva edir.
WinRegistry WinEventLog ARP
Windows Event loglari müxtəlif sistem və proqram hadisələrini qeyd edən Microsoft Windows əməliyyat sisteminin xüsusiyyətidir. Onlar problemlərin aradan qaldırılması, sistemin sağlamlığının monitorinqi və təhlükəsizliklə bağlı hadisələrin izlənilməsi üçün mühüm mənbədir.
Log Kateqoriyaları: Windows Hadisə Qeydləri üç əsas qrupa bölünür:
a. Application: Tətbiq və proqramlarla bağlı hadisələri qeyd edir.
b. System: Windows əməliyyat sisteminin özü ilə bağlı hadisələri qeyd edir.
c. Security: Giriş cəhdləri, giriş nəzarəti və digər təhlükəsizlik siyasəti ilə bağlı fəaliyyətlər kimi təhlükəsizliklə bağlı hadisələrə diqqət yetirir.