193
Tegishli
log yozuvisiz, buzg’unchining faoliyati e’tibordan chetda qolishi
mumkin va hujum buzilishlarga olib kelgan yoki qilinmaganligini isbotlash mumkin
yemas.
Doimiy jurnallarda yozib borish faol tekshirish va hujumdan keyingi tahlil
uchun xavfsizlik insidentlarining mohiyatini tushunishda juda muhim. Shuningdek,
hodisalarni qayd qilish operasion tendensiyalarni aniqlash
va tashkilotning ichki
tekshiruvlarini, shu jumladan, audit va sud-tibbiy tahlilni qo’llab-quvvatlash uchun
foydalidir.
Hodisalarni qayd etish quyidagilarni o’z ichiga olishi shart:
•
operasion tizim (OT) hodisalari:
o
tizimni ishga tushirish va o’chirish;
o
xizmatni boshlash va tugatish;
o
tarmoq ulanishidagi o’zgarishlar yoki muvaffaqiyatsizliklar;
o
tizim xavfsizligini sozlash va boshqarish vositalarini o’zgartirish
yoki o’zgartirishga urinishlar.
•
OT audit yozuvlari:
o
tizimga kirishdagi urinishlar (muvaffaqiyatli yoki
muvaffaqiyatsiz);
o
tizimga kirgandan so’ng bajariladigan funksiyalar (masalan,
muhim faylni o’qish yoki yangilash, dasturni o’rnatish);
o
qayd yozuvini o’zgartirish (masalan, yozuvni yaratish va yo’q
qilish, imtiyozlarni tayinlash);
o
imtiyozli qayd yozuvidan muvaffaqiyatli / muvaffaqiyatsiz
foydalanish.
•
ilova qayd yozuvi to’g’risidagi ma’lumot:
o
muvaffaqiyatli va muvaffaqiyatsiz dasturni autentifikasiya
qilishga urinishlar;
o
hisob qaydnomasidagi o’zgartirishlar (masalan,
qayd yozuvini
yaratish va yo’q qilish, hisob imtiyozlarini tayinlash);
o
dastur imtiyozlaridan foydalanish.
194
•
ilova operasiyalari:
o
dasturni ishga tushirish va o’chirish;
o
dastur xatolari;
o
dastur konfigurasiyasining asosiy o’zgarishlari;
o
dastur operasiyalari, masalan:
har bir elektron pochta uchun yuboruvchini, qabul
qiluvchilarni, mavzular nomini
va ilova nomlarini qayd
etadigan elektron pochta serverlari;
talab qilingan har bir URL manzilini va server tomonidan
berilgan javob turini yozadigan veb-serverlar;
har bir foydalanuvchi foydalanishi mumkin bo’lgan
moliyaviy yozuvlarni qayd qiluvchi biznes-ilovalar.
Har bir voqyea uchun qayd qilingan tavsilotlar juda farq qilishi mumkin.
Ammo, har bir voqyeani quyidagi parametrlar yordamida yozish tavsiya qilinadi:
o
vaqt belgisi;
o
voqyea, holat va / yoki xatolik kodlari;
o
servic / buyruq / ilova nomi;
o
foydalanuvchi yoki tizim bilan bog’liq voqyea;
o
amaldagi qurilma (masalan, IP va manba manzili, terminal sessiyasi
identifikatori, veb brauzer va hk.).
Audit jurnallarida barcha
harakatlar qayd etilgani bois, audit jurnalini
tahrirlash g’arazli niyatini amalga oshirganlar o’z faoliyatini yashirishda ham asosiy
maqsad hisoblanadi. Shuning uchun, audit jurnalidan foydalanishlarni nazoratlash
muhim vazifa hisoblanadi.
Windows OTda hodisalar turlari.
Windows OTda besh turdagi hodisalar
ro’yxatga olinishi mumkin. Bularning barchasida
aniq belgilangan umumiy
ma’lumotlar mavjud bo’lib, hodisalarga tegishli ma’lumotlarni o’z ichiga oladi.
Ilova biror bir hodisa haqida xabar berganida hodisa turini ko’rsatib, bunda
har bir hodisa bitta turga tegishli bo’ladi. Hodisalar jurnali ro’yxat ko’rinishida har
bir tur uchun farqli ko’rsatilib, quyidagi ushbu hodisa turlari keltirilgan (10-jadval).
195
10-jadval
Windows OT hodisalar turlari