Анализ журналов
Что такое Анализ журналов?
Анализ журналовСистематический разбор системных, прикладных и защитных журналов для обнаружения, расследования и восстановления событий, значимых для безопасности.
Анализ журналов исследует записи событий, формируемые операционными системами, сетевыми устройствами, приложениями и средствами защиты: Windows EVTX, syslog/journald в Linux, журналы доступа веб-серверов, потоки межсетевых экранов, телеметрию EDR и облачные аудиторские следы вроде AWS CloudTrail и Microsoft 365 Unified Audit Log. Аналитики разбирают, нормализуют и соотносят эти источники, как правило в SIEM, чтобы выявлять аномалии аутентификации, запуск команд, латеральное перемещение и эксфильтрацию. Используются Splunk, Elastic, Chainsaw, Hayabusa, EvtxECmd и правила Sigma. Эффективность зависит от точной синхронизации времени, достаточной глубины хранения и понимания нормального поведения.
● Примеры
- 01
Поиск Kerberoasting через анализ событий Windows 4769 в Splunk.
- 02
Сопоставление неудачных ConsoleLogin в AWS CloudTrail с успешными входами с нового IP.
● Частые вопросы
Что такое Анализ журналов?
Систематический разбор системных, прикладных и защитных журналов для обнаружения, расследования и восстановления событий, значимых для безопасности. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Анализ журналов?
Систематический разбор системных, прикладных и защитных журналов для обнаружения, расследования и восстановления событий, значимых для безопасности.
Как защититься от Анализ журналов?
Защита от Анализ журналов обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Анализ журналов?
Распространённые альтернативные названия: Анализ событий, Разбор журналов безопасности.