• Refine Query
  • Source
  • Publication year
  • to
  • Language
  • 1
  • Tagged with
  • 1
  • 1
  • 1
  • 1
  • About
  • The Global ETD Search service is a free service for researchers to find electronic theses and dissertations. This service is provided by the Networked Digital Library of Theses and Dissertations.
    Our metadata is collected from universities around the world. If you manage a university/consortium/country archive and want to be added, details can be found on the NDLTD website.
1

Log de Eventos: aplicação de um modelo de análise de logs para auditoria de registro de eventos

SILVA, Luiz Hamilton Roberto da 14 July 2017 (has links)
Submitted by Fernanda Rodrigues de Lima (fernanda.rlima@ufpe.br) on 2018-10-05T22:32:21Z No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) DISSERTAÇÃO Luiz Hamilton Roberto da Silva.pdf: 3143342 bytes, checksum: 6d46e7ef9675c038bf4955aafdad3f5d (MD5) / Approved for entry into archive by Alice Araujo (alice.caraujo@ufpe.br) on 2018-11-14T21:49:58Z (GMT) No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) DISSERTAÇÃO Luiz Hamilton Roberto da Silva.pdf: 3143342 bytes, checksum: 6d46e7ef9675c038bf4955aafdad3f5d (MD5) / Made available in DSpace on 2018-11-14T21:49:58Z (GMT). No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) DISSERTAÇÃO Luiz Hamilton Roberto da Silva.pdf: 3143342 bytes, checksum: 6d46e7ef9675c038bf4955aafdad3f5d (MD5) Previous issue date: 2017-07-14 / SETEC / A análise do registro de eventos – conhecido como logs – em equipamentos e sistemas computacionais é útil para a identificação de atacantes, para delinear o modo de ataque e, também, para identificar quais são as falhas que foram exploradas. Há alguns trabalhos e pesquisas que demonstram a vantagem para uma política de segurança da informação em manter os logs de comunicação em redes e sistemas computacionais, focando nas trilhas para auditoria, que é um conjunto de ações onde se inclui: a coleta, o armazenamento e o tratamento dos logs de equipamentos, de aplicações e de sistemas operacionais, dentro de um sistema de computação. A auditoria de eventos atua na coleta de elementos que possam individualizar comportamentos perigosos de usuários, internos ou externos, ou eventos de sistema que possam vir a comprometer o uso aceitável dos recursos computacionais ou a quebra da tríade da segurança da informação: a confidencialidade, a integridade e a disponibilidade. Percebe-se que, dentro do modelo de política de segurança adotado nos centros de operação (datacenters) dos Institutos Federais de Educação, em sua imensa maioria, não utilizam o recurso de servidor de logs, ou tão somente atêm-se ao registro de eventos em seus sistemas e hosts, de forma individual e, sem o contexto da centralização e do tratamento dos registros dos eventos. A coleta dos logs, na modalidade loghost centralizado guarda, em um único repositório, os registros de eventos de diversos sistemas, equipamentos e serviços de rede, o que possibilitará uma análise do montante de logs adquiridos e a possibilidade de gerar trilhas de comportamento de usuários, além de permitir o cruzamento de informações conexas à autenticação de usuários. O recurso que permite a comunicação entre as aplicações, os sistemas operacionais e os equipamentos de rede, informando os eventos a serem registrados é o protocolo Syslog (system log), que é um padrão criado pela IETF para a transmissão de mensagens de log em redes IP. O objetivo maior deste trabalho é estabelecer um modelo para a análise e auditoria de logs, com o fim de identificar ações de usuários em uma rede com servidor de autenticação, aplicando a extração de informações úteis para o Gerenciamento da Segurança, elemento este levado a execução via o uso de scripts no formato PS1 (Windows PowerShell), atuando sobre os arquivos de logs dos Eventos de Segurança (Security.evtx) e gerando relatórios dos eventos relativos ao serviço de autenticação (Active Directory). Ressaltando que as funções implementadas pelos scripts não são disponibilizadas nativamente pelos sistemas Windows e, que o ferramental desenvolvido é de grande valor às atividades diárias do Administrador de Redes, concluindo-se que esta pesquisa apresenta um modelo de análise de logs para auditoria de registro de eventos. / The analysis of the events log - known as logs - in equipment and computer systems, is useful for the attackers’ identification, to delineate the attack way and also to identify which faults have been exploited. There are some papers and researches that demonstrate the advantage of an information security policy in maintaining communication logs in networks and computer systems, focusing on the audit trails, which is a set of actions, which includes: collection, storage and the treatment of equipment logs, applications, operating systems, within a computer system. The audit of events, acts in the collection of elements that can individualize users dangerous behaviors, internal or external, or system events that may compromise the acceptable use of computing resources or the breakdown of the triad of information security: confidentiality, integrity and availability. It´s noticed that, in the security policy model, adopted in the operation centers (datacenters) at the Federal Institutes of Education, in their vast majority, they do not use the log server resource, or only they attend the record of events, in their systems and hosts, individually and without the context of centralization and processing of event logs. The collection of logs, in the host-based mode, stores in a single repository, the event logs of various systems, equipment and network services, which will allow an analysis of the amount of logs acquired, the possibility of generating user behavior trails and, the crossing of information related to user authentication. The resource for communication between applications, operating systems and network equipment, informing the events to be registered is the Syslog protocol (system log), it’s a standard created by the IETF, for the transmission of log messages in IP networks. The main goal of this work is to establish a model for the analysis and audit of logs, in order to identify actions of users in a network with authentication server, applying the extraction of useful information to the Security Management, element this led to execution through the use of scripts in the PS1 (Windows PowerShell) format, by acting on the Security Event log files (Security.evtx) and generating reports of events related to the authentication service (Active Directory). Note that the functions implemented by the scripts are not made available natively by Windows systems, and that the tooling developed is of great value to the daily activities of the Network Manager, and it is concluded that this research presents a log analysis model for event log audit.

Page generated in 0.0577 seconds