Sorveglianza dei log d'eventi

Novembre 2016
Uno dei mezzi migliori per rilevare le intrusioni consiste nel sorvegliare i log degli eventi (detto anche Log d'attività o in inglese logs). In effetti, in maniera generale, i server immagazzinano in dei file una traccia delle loro attività e in particolare degli errori riscontrati. Ora, quando si verifica un attacco informatico, è raro che il pirata riesca a compromettere un sistema al primo colpo: agirà per tentativi, provando differenti richieste.

Così la sorveglianza dei log permette di rilevare un'attività sospetta. È molto importante sorvegliare i log d'attività dei dispositivi di protezione dato che, anche se ben configurati, possono essere bersagli di un attacco.

Nozione di rumore

Nella realtà non è evidente distinguere le allerte reali dagli attacchi automatici effettuati dagli worms di rete, i virus e gli strumenti come gli analizzatori di vulnerabilità. Così, la maggior parte degli attacchi subiti da un server sono degli attacchi ne non possono in alcun caso compromettere il sistema (ad esempio gli attacchi dei server web Microsoft IIS contro dei server su Linux con Apache). Ne risultano tuttavia delle allerte inutili, che provocano quello che viene chiamato rumore, impedendo di concentrarsi sulle vere allerte.

Articolo redatto il 22 luglio 2005 da Jean-François PILLOU.

Potrebbe anche interessarti :

Monitoring event logs
Monitoring event logs
Sobre CCM.net
Sobre CCM.net
Surveillance des journaux d'événements (logs)
Surveillance des journaux d'événements (logs)
Vigilância dos diários de acontecimentos (registos)
Vigilância dos diários de acontecimentos (registos)
Il documento intitolato « Sorveglianza dei log d'eventi » da CCM (it.ccm.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.