Auditd - демон который поможет в расследовании

Старший системный архитектор в Департамент информационных технологий г. Москва

На просторах Российского сегмента сети интернет, довольно мало информации по использованию/применению auditd, хочется уйти от этой несправедливости и рассказать как данный инструмент может быть полезен.
На мастер классе мы познакомимся более детально, с тем что такое auditd, как сформировать правила для аудита, как не положить систему этими правилами, почему и как он может быть полезен при расследовании, а так же рассмотрим пару примеров из реальных кейсов.

• 4 принципа безопасности
• Система аудита Linux Audit
• Возможности системы аудита
• Какие требования закрывает?
• Принцип работы фреймворка
• Архитектура 
• Pluggable Authentication Modules
• Отслеживание локального входа пользователя
• Отслеживание удаленного входа непривилегированного пользователя
• Отслеживание вводимых команд пользователем
• Параметр загрузки ядра
• Структура
• Файл конфигурации
• Формат лога RAW
• Формат лога ENRICHED
• Базовые типы правил аудитд
• События auditd
• Auditd и MITRE
• Auditd и Sigma
• Пример правил  Sigma
• Auditd и LM/SIEM/HIDS
• Примеры кейсов