28. 10. 2022
Log Management, Log-SIEM, NetEye
Come forse già sapete, l’agent Safed per Windows è in grado di raccogliere gli eventi dall’event log, filtrarli ed inviare le informazioni ad un server syslog centralizzato. Esistono alcuni set di eventi preconfigurati relativi ad attività di base che devono essere tracciate.
Il primo, e probabilmente il più noto per la conformità con la legge del garante per la privacy, consiste nella possibilità di tracciare tutti i login/logoff al sistema. Il secondo che vale la pena menzionare è il tracking dello start/stop dei processi su Windows.
Infatti con Safed risulta facile configurare le logiche e filtrare gli eventi di tutti quei processi di interesse. Dal menù di sinistra è sufficiente selezionare “EventLog Objectives Configuration”, aggiungere la nuova logica selezionando l’opzione “Start or stop a process” ed inserendo nel campo “General Search Term” una regular expression che meglio corrisponde al vostro obiettivo (Img. 1). Tutto il resto è gestito da Safed, ovvero la configurazione di audit e raccolta dei dati, logiche di filtraggio e inoltro al server.
Img. 1
Lato server tutti i dati raccolti (Img. 2) possono essere ulteriormente filtrati e correlati per ottenere informazioni interessanti su software in uso su sistemi Windows (provate a pensare alle istanze di licenze in esecuzione simultaneamente), e scoprire eventuali processi indesiderati o proibiti.
Img. 2
MarinovMihail
Developer at Würth Phoenix
“Hi guys! I’m Mihail and since the university years I has been fascinated by distributed systems and measurements on them. Now when I join the Neteye project I get the possibility to continue with this passion and this is great. My free time is completely dedicated to my wife and my daughters, I simply love them.”
Author
Latest posts by MarinovMihail
18. 06. 2019
NetEye, Unified Monitoring
Go pprof – How to Understand Where There is Memory Retention