L'analisi dei log

Uno dei mezzi migliori per rilevare le intrusioni consiste nel sorvegliare i log degli eventi (detto anche Log d'attività o in inglese logs).

In effetti, in maniera generale i server immagazzinano in dei file una traccia delle loro attività e in particolare degli errori riscontrati.

Ora, quando si verifica un attacco informatico, è raro che il pirata riesca a compromettere un sistema al primo colpo. Agirà per tentativi, provando differenti richieste.

Così la sorveglianza dei log permette di rilevare un'attività sospetta. E' particolarmente importante sorvegliare i log d'attività dei dispositivi di protezione dato che, per quanto possano essere ben configurati, possono essere bersagli di un attacco.

Nozione di rumore

Nella realtà non è evidente distinguere le allerte reali dagli attacchi automatici effettuati dagli worms di rete, i virus e gli strumenti come gli analizzatori di vulnerabilità.

Così, la maggiorparte degli attacchi subiti da un server sono degli attacchi ne non possono in alcun caso compromettere il sistema (ad esempio gli attacchi dei server web Microsoft IIS contro dei server su Linux con Apache).

Ne risultano tuttavia delle allerte inutili, che provocano quello che viene chiamato « rumore », impedendo di concentrarsi sulle vere allerte.

Articolo redatto il 22 luglio 2005 da Jean-François PILLOU.

Ultime modificazione ilvenerdì 6 febbraio 2009 alle 16:52:02.Questo documento intitolato «  » da Kioskea (it.kioskea.net) è reso disponibile sotto la licenza Creative Commons. È possibile copiare, modificare le copie di questa pagina, alle condizioni previste dalla licenza, come questa nota appare chiaramente.