- •Курсовая работа
- •2015 Оглавление.
- •Введение.
- •1. Журнал событий Windows 2008.
- •1.1. Подписки на события.
- •1.2. Журналы.
- •1.3. Фильтры.
- •1.4. Реагируем на события.
- •1.5. Построение отчетов.
- •2. Просмотр пакетов и взаимосвязей сетевого трафика с помощью сетевого анализатора Microsoft.
- •2.1. Установка Network Monitor.
- •2.2. Запуск Network Monitor.
- •2.3. Гистограммы использования сети.
- •2.4. Сетевые соединения.
- •2.5. Сетевые статистики.
- •2.6. Подробная информация о пакете.
- •2.7. Отображение перехваченных пакетов.
- •2.8. Настройка фильтров просмотра.
- •2.9. Основы сессии tcp/ip.
- •2.10. Чтение пакетов.
- •2.11. Наблюдение за флагами.
- •2.12. Номера портов.
- •2.13. Повторные передачи пакетов.
- •2.14. Network Monitor как средство противодействия auth Attack.
- •Заключение.
- •Литература.
1.5. Построение отчетов.
Иногда возникает необходимость в построении отчетов о событиях информационной безопасности. Например, руководители различного уровня очень любят, когда им предоставляют распечатки отчетов, в которых представлена информация, о том сколько попыток несанкционированного проникновения было осуществлено, к примеру за месяц. Благодаря отчетам многие руководители ИТ-отделов выбивают бюджеты на развитие, так что не стоит пренебрегать отчетами.
Итак, нам нужно осуществить выборку событий из журнала. Делать мы это будем с помощью средств PowerShell.
Для начала построим отчет о неудачных входах в систему. Для этого нам необходимо выбрать все события с кодом 4625.
get-eventLog -LogName Security -Newest 100 | Where-Object { $_.EventID -eq 4625 }
Еще один пример. Узнаем, сколько пользователей осуществляло вход в систему в нерабочее время. Код события Success Logon – 4624.
get-eventlog security | where {$_.EventId -eq 4624 –and ($_.TimeGenerated.TimeOfDay -gt '20:00:00' –or $_.TimeGenerated.TimeOfDay -lt '08:00:00' )}
В завершении, узнаем, сколько удачных входов систему было осуществлено пользователем administrator.
get-eventLog -LogName Security | Where-Object { $_.message -match 'administrator' -AND $_.EventID -eq 4624 }
Здесь приведены только простейшие сценарии работы с журналом событий в Windows Server 2008. При необходимости на их основе можно построить более сложные запросы для релшения соответствующих задач информационной безопасности.
2. Просмотр пакетов и взаимосвязей сетевого трафика с помощью сетевого анализатора Microsoft.
Инструмент Network Monitor, реализованный в Windows и Microsoft Systems Management Server (SMS), позволяет выполнять мониторинг сетевого трафика. Мониторинг можно проводить в реальном времени или, перехватив и сохранив сетевой трафик, анализировать его позднее. Сохраненные данные могут использоваться для устранения неполадок в локальных и распределенных сетях, а также практически во всех устройствах, которые задействуют для коммуникаций протокол TCP/IP. Network Monitor имеет три основные области применения.
Поиск неисправностей в сетевых соединениях. Это основная область применения Network Monitor. Если у вас есть два компьютера, при взаимодействии которых возникают трудности, можно воспользоваться функцией Network Trace для выяснения причины проблемы. Network Monitor также используется для просмотра пакетов TCP/IP, которые пересылаются между двумя устройствами, и данных, содержащихся в каждом из них.
Оценка сетевой производительности. Network Monitor дает ясную и полную картину работы сети. Если возникает подозрение, что с точки зрения сетевой производительности имеются уязвимые места, можно воспользоваться информацией Network Monitor — например, статистикой о сетевой нагрузке и данными об источниках сетевого трафика — для поиска таких слабых мест. Хотя обычно Network Monitor не используется как базовое средство для выявления проблем в сетевых коммуникациях, это превосходный вспомогательный инструмент, позволяющий отыскать причину неисправности и показать гораздо более детальную картину происходящего, чем это позволяет сделать Performance Monitor.
Поиск устройства, инициировавшего выдачу «маяка». Так называемый beaconing — процесс выдачи компьютерам в сети кольцевой топологии сигнала о том, что передача маркера прервана из-за серьезной ошибки. До появления коммутируемых сетей с помощью Network Monitor отслеживались проблемы в работе аппаратных сетевых устройств. Сейчас Network Monitor по-прежнему можно использовать для поиска фрагментированных или разрушенных пакетов, генерируемых несправным оборудованием, однако для этого следует установить полную версию Network Monitor, которая поддерживает работу удаленных агентов и перехватывает сетевые пакеты в сегменте даже в том случае, когда трафик не предназначен для станции, на которой запущен Network Monitor. Подробнее о двух версиях Network Monitor рассказано во врезке «Версии Network Monitor». При наличии управляемого коммутатора с помощью комбинации статистик и Network Monitor можно получить исчерпывающую информацию о неисправности для диагностики сетевого оборудования.