A análise dos registos

Um dos melhores meios para detectar as intrusões consiste em supervisionar os diários de acontecimentos (chamados também registos de actividade ou, em inglês, logs).

Com efeito, geralmente os servidores armazenam em ficheiros um vestígio da sua actividade e em especial dos erros encontrados.

Ora, aquando de um ataque informático é raro que o pirata consiga comprometer um sistema à primeira. Age às cegas na maior parte do tempo, tentando diferentes pedidos.

Assim, a vigilância dos registos permite detectar uma actividade suspeita. É particularmente importante supervisionar os registos de actividade dos dispositivos de protecção porque, por muito bem configurados que estejam, podem ser um dia alvo de um ataque.

Noção de barulho

Na realidade, não é fácil distinguir os alertas reais dos ataques automáticos efectuados pelos worms rede, os vírus e os instrumentos como os analisadores de vulnerabilidades.

Assim, a maior parte dos ataques sofridos por um servidor são ataques que não podem em nenhum caso comprometer o sistema (por exemplo, ataques de servidores web Microsoft IIS contra servidores sob Linux com Apache).

Isso resulta em alertas inúteis, provocando o que se chama de“ barulho”, impedindo focalizar-se nos verdadeiros alertas.

Artigo redigido a 22 de Julho de 2005 por Jean-François PILLOU.

Última modificação do dia Quinta 23 de Julho de 2009 às 19:38:47.Este documento, intitulado « Análise dos diários de acontecimentos (registos) »a partir de Kioskea (pt.kioskea.net) está disponibilizado sob a licença Creative Commons. Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença, como esta nota aparece claramente.