Николай Климов
Старший системный архитектор в Департамент информационных технологий г. Москва
Введение
На просторах Российского сегмента сети интернет, довольно мало информации по использованию/применению auditd, хочется уйти от этой несправедливости и рассказать как данный инструмент может быть полезен.
На мастер классе мы познакомимся более детально, с тем что такое auditd, как сформировать правила для аудита, как не положить систему этими правилами, почему и как он может быть полезен при расследовании, а так же рассмотрим пару примеров из реальных кейсов.
Содержание мастер-класса
- 4 принципа безопасности
- Система аудита Linux Audit
- Возможности системы аудита
- Какие требования закрывает?
- Принцип работы фреймворка
- Архитектура
- Pluggable Authentication Modules
- Отслеживание локального входа пользователя
- Отслеживание удаленного входа непривилегированного пользователя
- Отслеживание вводимых команд пользователем
- Параметр загрузки ядра
- Структура
- Файл конфигурации
- Формат лога RAW
- Формат лога ENRICHED
- Базовые типы правил аудитд
- События auditd
- Auditd и MITRE
- Auditd и Sigma
- Пример правил Sigma
- Auditd и LM/SIEM/HIDS
- Примеры кейсов
Связанные статьи
- Как реагировать и расследовать киберинциденты?
- Типовые ошибки при реагировании и расследовании инцидентов
- Как расследовать киберпреступления при помощи простых инструментов
- Формирование групп риска для повышения осведомленности и тренировки навыков ИБ у сотрудников
- Как снизить процент перехода сотрудников по фишинговым ссылкам с 80 до 2%?
Наш сайт использует cookie
Настоящий сайт использует файлы cookies. Используя настоящий сайт, вы соглашаетесь со сбором информации с помощью файлов cookies и условиями Политики конфиденциальности.
Код ИБ АКАДЕМИЯ
academy@codeib.ru
+7 (800) 511-07-26
авторизуйтесь