Veranstaltung: 9. NETFOX Security Day, 27.05.2010, MEILENWERK Berlin. Präsentation durch BalaBit zum Thema: Analyse digitaler “Spuren” im Netzwerk.

1. BalaBit syslog-ng Store Box Analyse digitaler "Spuren" im Netzwerk Martin Grauel [email_address] +49 170 8067 345

2. Agenda Mögliche Beweismittel in der IT-Forensik Logdaten und IT-Forensik syslog-ng Store Box Problemlösungen SSB Log-Lifecycle

3. IT-Forensik

8. Problemlösung 1: Zentrale Speicherung und sichere Übertragung

10. Problemlösung 2: Revisionssichere Speicherung von Logdaten May 27 17:45:21 pluto sshd[18206]: Accepted publickey for root from 10.1.1.1 port 25436 ssh2 Indexierter Logstore

12. Problemlösung 3: Leistungsfähige Filter und Suchmöglichkeiten Linux: Accepted publickey for admin from 10.1.1.1 port 25436 ssh2 Juniper: Password authentication successful for admin user 'Peter' at host 192.168.3.1. Fortigate: user=admin ui=GUI action=login status=success reason=none msg="User admin login accepted from GUI" Alle Events aus Subnetz A Logstore A Ext. Analysesystem Failed Login Events Login/Logout-Events Logstore B

13. Der gesamte SSB Log-Lifecycle ...

14. Alle Probleme gelöst? Wenn der Administrator das Logging auf dem Client abschaltet oder manipuliert, ... … dann bleibt uns nicht viel mehr das Login-Event und eine Mühsame Suche in Speicher- und Diskabbildern … … oder ...

15. … hoffentlich eine BalaBit Shell Control Box !

16. Q & A Vielen Dank für Ihre Aufmerksamkeit ...