Расследование инцидентов ИБ in the wild: неожиданные источники информации

[JSOC_CERT]

Нет, в данной статье речь не только про win платформу. Кейс с Citrix состоял в основном из Linux систем (злоумышленник искал Dirty Cow). Но наш опыт подсказывает, что полезная информация может быть в различных инфраструктурных системах и программах, вне зависимости от того на каких ОС они работают.

[Maslukhin]

Интересное изложение. Как сериал читаешь/смотришь

[DGN]

Вот интересно, типичное поведение хакера при проникновении — затереть свои следы. Мне очевидно решение, надо записи сопровождать хешем который учитывает текст записи и предыдущий хеш. То есть, нельзя ни поменять сообщение, ни стереть строчку — лог файл станет невалидным, примерно как блокчейн. Если что, я профан в IT безопасности.

[andreyle]

Подпись логов давно существует, для syslog это принято как стандарт в 2010 году ( RFC 5848), для винды что-то подобное тоже должно быть. Но пустой или невалидный лог не поможет узнать кто что сделал, а только просигнализирует о проблеме.
Правильнее было бы настроить форвард логов на отдельно выделенный сервер с их последующим анализом, недавно как раз был пример этого habr.com/ru/company/tomhunter/blog/504088