Incident Response, Security and Forensics"

.

miércoles, 26 de noviembre de 2008

Creando scripts forenses con LogParser (I)

Monitorizando las actividades de los usuarios

Monitorizar la actividad de los usuarios es un proceso importante en una revisión forense. Revisando la actividad nos puede dar una idea de como esta la política de seguridad de los servidores, también en ocasiones puede ser un indicador de solución de problemas. Casi toda la actividad de los usuarios suele estar reflejada en los ficheros de log's del sistema.

La revisión de los ficheros de extensión EVT (ficheros de bitácoras del sistema o como todos conocemos en Windows, como visor de eventos) es en ocasiones muy tedioso y algo complicado de entender, la codificación de errores, la terminología y los sucesos son muy opacos y poco 'humanos' a la hora de ser estudiados.

Una vez más lo mejor es utilizar la propia utilidad del visor de eventos del sistema o herramientas de terceros para exportar a un sistema de ficheros que podamos agrupar y ver con más claridad. Por ejemplo en Access o Excel.

Yo particularmente y por seguir el post anterior sobre Log parser, vamos a emplear una serie de scripts basados en SQL que nos van a permitir listar de una forma sencilla una lista de inicios de sesión que hayan fallado.

Creando el script para listar los inicios de sesión fallidos

1.- Instalate el Log Parser.

2.- Create con un editor el siguiente fichero 'logones_fallidos.sql' y escribe el siguiente contenido:


3.- En linea de comandos escribe la siguiente orden y pulsa intro:

c:\log parser 2.2>Logparser.exe file:logones_fallidos.sql -i:EVT -o:datagrid

Veras una ventana con la lista filtrada del visor de eventos de seguridad de aquellos usuarios que han realizado intentos fallados de entrada al sistema

Nota:

Los eventos del 529 al 539 que estan en el fichero de 'logones_fallidos.sql', corresponden a eventos relacionados con la siguiente tabla:

Para más referencia visitar: http://technet.microsoft.com/en-us/library/cc787567.aspx

0 comentarios: