Comments

Все случаи с win платформой? Есть примеры с linux? Его как то побольше в серверном сегменте

Нет, в данной статье речь не только про win платформу. Кейс с Citrix состоял в основном из Linux систем (злоумышленник искал Dirty Cow). Но наш опыт подсказывает, что полезная информация может быть в различных инфраструктурных системах и программах, вне зависимости от того на каких ОС они работают.
Вот интересно, типичное поведение хакера при проникновении — затереть свои следы. Мне очевидно решение, надо записи сопровождать хешем который учитывает текст записи и предыдущий хеш. То есть, нельзя ни поменять сообщение, ни стереть строчку — лог файл станет невалидным, примерно как блокчейн. Если что, я профан в IT безопасности.
Подпись логов давно существует, для syslog это принято как стандарт в 2010 году ( RFC 5848), для винды что-то подобное тоже должно быть. Но пустой или невалидный лог не поможет узнать кто что сделал, а только просигнализирует о проблеме.
Правильнее было бы настроить форвард логов на отдельно выделенный сервер с их последующим анализом, недавно как раз был пример этого habr.com/ru/company/tomhunter/blog/504088
Only those users with full accounts are able to leave comments. Log in, please.