ฐานข้อมูล Log Data Traffic ที่เกี่ยวกับการ Login เข้า Domain Controller

ฐานข้อมูล Log Data Traffic ที่เกี่ยวกับการใช้ Login เข้า Domain Controller
ลักษณะการใช้งาน Authentication
ชื่อฐานข้อมูล Signature : Authentication Domain Controller
หมายเลข : NDA001
วันที่ติดตั้งฐานข้อมูล : 25/03/08
ลักษณะการตรวจจับ : เป็นการบันทึกข้อมูลจราจร การ Login เข้าสู่ Domain Controller (Windows Server Active Directory)
ประโยชน์ : ติดตามลักษณะการตามห่วงโซ่เหตุการณ์ (Chain of Event)เพื่อพิจารณา Log ที่เกิดขึ้น
Who : ชื่อ User ที่ทำการ Login
What : เป็นการระบุตัว (Authentication) ผ่าน Domain Controller (Windows)
Where [...]

Read Full Post »

ใช้ SRAN ผ่าน iPhone

นี้เป็นอีกตัวอย่างหนึ่ง ที่แสดงให้เห็นว่า ไม่ว่าอยู่ที่ใดหากออกอินเตอร์เน็ตได้เราก็สามารถเข้ามาสำรวจ ตรวจสอบ และประเมินผลระบบเครือข่าย พร้อมทั้งวิเคราะห์ลักษณะการใช้งานข้อมูลบนตัวอุปกรณ์ SRAN ได้ หากทางเครือข่ายนั้นได้ทำการเปิด Port SSL และทำการ Re-Direct ไปที่เครื่อง SRAN ที่วางในเครือข่ายท่าน สิ่งที่ได้จาก SRAN คือ การวิเคราะห์ระดับข้อมูลการใช้งานหรือ Bandwidth ที่ใช้ Application Protocol ที่ใช้ รวมถึงข้อมูลทั้งที่ปกติและไม่ปกติ เพื่อรู้ทันปัญหาได้อย่างสะดวกขึ้น
จากกรณีศึกษาการใช้ SRANวิเคราะห์ Log ตอนที่ 2 นั้นหลายคนอาจสงสัยว่า นายพัฒบริษัท XXX ที่อยู่นอกสถานที่ สามารถทำการ Remote ผ่านมือถือเพื่อเข้าไปวิเคราะห์ผลความเสี่ยงที่พบบนเครือข่ายของตนเองได้อย่างไร เรามาย้อนเวลาดูกันครับ เป็น Step by Step
ใกล้มือที่สุด คือ iPhone คลิกปุ่มเพื่อทำการ Slide unlock [...]

Read Full Post »

กรณีศึกษาการใช้ SRAN วิเคราะห์ Log ตอนที่ 1

เก็บบันทึกข้อมูลจราจร หรือเรียกสั้นๆ ว่า เก็บ Log นั้น จะไม่มีประโยชน์หากผู้ทำการเก็บบันทึกข้อมูลจราจรนั้นไม่ได้สร้างการยืนยัน ว่า Log files นั้นทำการเปลี่ยนแปลงหรือแก้ไขได้ โดยปกติ การเก็บบันทึกข้อมูลจราจร ควรจะมีวิธีการตรวจถึงความถูกต้องของเนื้อ files เหตุการณ์ที่ได้บันทึกไว้ เมื่อเกิดปัญหา หรือมีการดำเนินคดี เราจะทราบได้อย่างไร ว่า Log ที่เก็บบันทึกนั้น ถูกต้องหรือไม่ หรือมีการแก้ไข จะผู้ดูแลระบบหรือไม่ หรืออาจจะมีบุคคลอื่นที่สามารถเข้าถึงระบบได้ทำการแก้ไขเนื้อหา files Log ที่เก็บบันทึก ตามหลัก Chain of event ในภาษาไทยเรียกว่า ห่วงโซ่ของเหตุการณ์ นั้นได้กล่าวว่า เหตุการณ์ที่ปรากฏจากที่หนึ่ง ย่อมมีผลต่อเหตุการณ์จากที่หนึ่ง กรณีศึกษา (Case Study) จากเหตุการณ์สมมุติ ที่ทำเกิดความเสียหาย หรือก่อกวน ทำลายระบบคอมพิวเตอร์
<18:30 21/03/51> มีผู้เสียผู้ให้บริการ Hosting A แจ้งว่ามีได้ถูกบุกรุกโดยการโจมตีชนิด DoS [...]

Read Full Post »

กรณีศึกษาใช้ SRAN วิเคราะห์ Log (2)

เมื่อทำการเปลี่ยนแปลงเหตุการณ์ บริษัท XXX ได้จัดหาระบบเก็บบันทึกเหตุการณ์ โดยใช้ SRAN Security Center รุ่น SR L มาใช้ในองค์กร โดยผู้บริหารบริษัท XXX มีความตระหนักถึงการเก็บบันทึกข้อมูลจราจร และการเฝ้าระวังภัยคุกคาม ตลอดถึงต้องการทราบถึงลักษณะการใช้งานของ User ในองค์กร ที่เป็นลูกจ้าง ที่ตนเองต้องจ่ายเงินเดือนให้ จึงเลือกใช้ อุปกรณ์ SRAN และเป็นรุ่นที่เหมาะสมกับเครือข่ายขนาด เครื่องคอมพิวเตอร์ที่ออกอินเตอร์เน็ตได้ ไม่เกิน 400 เครื่อง คือรุ่น SR L

โดยผู้ดูแลระบบ ทำการติดตั้งอุปกรณ์ SRAN Security Center โดยทำการรับค่า Mirror Port จากอุปกรณ์ Core Switch ทำให้เห็นถึง Data Traffic ทั้งหมดของเครือข่ายคอมพิวเตอร์ บริษัท XXX
รูปการติดตั้งอุปกรณ์ SRAN

ย้อน กลับไปจากตอนที่แล้ว ในเวลา <10:30 22/03/51> ผู้จัดการฝ่ายไอที ของบริษัท [...]

Read Full Post »

กรณีศึกษาการใช้ SRAN วิเคราะห์ Log ตอนที่ 1

การเก็บบันทึกข้อมูลจราจร หรือเรียกสั้นๆ ว่า เก็บ Log นั้น จะไม่มีประโยชน์หากผู้ทำการเก็บบันทึกข้อมูลจราจรนั้นไม่ได้สร้างการยืนยัน ว่า Log files นั้นทำการเปลี่ยนแปลงหรือแก้ไขได้
โดยปกติ การเก็บบันทึกข้อมูลจราจร ควรจะมีวิธีการตรวจถึงความถูกต้องของเนื้อ files เหตุการณ์ที่ได้บันทึกไว้ เมื่อเกิดปัญหา หรือมีการดำเนินคดี เราจะทราบได้อย่างไร ว่า Log ที่เก็บบันทึกนั้น ถูกต้องหรือไม่ หรือมีการแก้ไข จะผู้ดูแลระบบหรือไม่ หรืออาจจะมีบุคคลอื่นที่สามารถเข้าถึงระบบได้ทำการแก้ไขเนื้อหา files Log ที่เก็บบันทึก
ตามหลัก Chain of event ในภาษาไทยเรียกว่า ห่วงโซ่ของเหตุการณ์ นั้นได้กล่าวว่า เหตุการณ์ที่ปรากฏจากที่หนึ่ง ย่อมมีผลต่อเหตุการณ์จากที่หนึ่ง
กรณีศึกษา (Case Study) จากเหตุการณ์สมมุติ ที่ทำเกิดความเสียหาย หรือก่อกวน ทำลายระบบคอมพิวเตอร์
<18:30 21/03/51> มีผู้เสียผู้ให้บริการ Hosting A แจ้งว่ามีได้ถูกบุกรุกโดยการโจมตีชนิด DoS (Denial of Services) มาที่เว็บไซด์หนึ่งซึ่งเป็นลูกค้าของตน บน Hosting [...]

Read Full Post »