Banner 1

LogParser

Log Parser es una fantástica utilidad que permite analizar diversas fuentes de datos o de ficheros log's.

La última versión de Log Parser puede hacer cosas como:

Buscar en los registros de sucesos

Buscar en el sistema de archivos

Buscar objetos en Active Directory

Buscar archivos de registro de cualquier tipo y formato. Por ejemplo, Log Parser puede buscar registros que utilicen el formato de archivo de registro extendido W3C. Los registros que utilizan este formato son: los registros del servidor de seguridad personal; los registros de Microsoft Internet Security and Acceleration (ISA) Server; los registros de Servicios de Windows Media; los registros de seguimiento de Exchange; y los archivos de registro de Protocolo simple de transferencia de correo (SMTP). Y formatos como logs de APACHE

Buscar en los registros de Servicios de Internet Information Server (IIS), en los archivos de captura de Netmon, en el Registro

También utiliza de forma nativa el lenguaje SQL, si estas familiarizado con este lenguaje la curva de aprendizaje no deberia de ser un problema para ti.

Log Parser da solución a preguntas de este estilo:

¿Quieres saber cuántos sucesos de cada tipo de Id. hay en los registros de sucesos? . No hay problema; Log Parser puede hacerlo. También se puede utilizar comandos del tipo ORDER BY o TOP por ejemplo, para mostrar los 10 archivos más grandes del disco duro

Se puede ejecutar Log Parser desde el símbolo del sistema o utilizar los diferentes productos en formato gráfico que hay disponibles desde San Google

La velocidad de ejecución es sorprendente, por ejemplo si queremos buscar en un disco de un terabyte ficheros con extensión MP3, tan solo tarda once segundos.

La verdad es que es una herramienta increíblemente útil (¡y gratuita!)

Para utilizarlo descarga Log Parser y aprende a manejarlo, ¡¡te sorprendera!!

Scripts para LogParser


Monitorizando las actividades de los usuarios

Monitorizar la actividad de los usuarios es un proceso importante en una revisión forense. Revisando la actividad nos puede dar una idea de como esta la política de seguridad de los servidores, también en ocasiones puede ser un indicador de solución de problemas. Casi toda la actividad de los usuarios suele estar reflejada en los ficheros de log's del sistema.

La revisión de los ficheros de extensión EVT (ficheros de bitácoras del sistema o como todos conocemos en Windows, como visor de eventos) es en ocasiones muy tedioso y algo complicado de entender, la codificación de errores, la terminología y los sucesos son muy opacos y poco 'humanos' a la hora de ser estudiados.

Una vez más lo mejor es utilizar la propia utilidad del visor de eventos del sistema o herramientas de terceros para exportar a un sistema de ficheros que podamos agrupar y ver con más claridad. Por ejemplo en Access o Excel.

Yo particularmente y por seguir el post anterior sobre Log parser, vamos a emplear una serie de scripts basados en SQL que nos van a permitir listar de una forma sencilla una lista de inicios de sesión que hayan fallado.

Creando el script para listar los inicios de sesión fallidos

1.- Instalate el Log Parser.

2.- Create con un editor el siguiente fichero 'logones_fallidos.sql' y escribe el siguiente contenido:


3.- En linea de comandos escribe la siguiente orden y pulsa intro:

c:\log parser 2.2>Logparser.exe file:logones_fallidos.sql -i:EVT -o:datagrid

Veras una ventana con la lista filtrada del visor de eventos de seguridad de aquellos usuarios que han realizado intentos fallados de entrada al sistema

Nota:

Los eventos del 529 al 539 que estan en el fichero de 'logones_fallidos.sql', corresponden a eventos relacionados con la siguiente tabla:

Para más referencia visitar: http://technet.microsoft.com/en-us/library/cc787567.aspx

Identificando ataques por fuerza bruta

Pues eso, el titulo es de lo más sugerente, pero en esta ocasión vamos a utilizar dos scripts.

El primero nos va a contar el número de inicios de sesión incorrectos, de esta forma nos hacemos una idea de la cantidad de 'logones' por usuario. Este es el script y a continuación el resultado






El segundo script va un poco más alla y nos cuenta los logones incorrectos por usuario, horas y por dias.



Con estos dos scripts podemos estudiar si alguno de estos usuarios es utilizado por alguna herramienta automatizada que intenta por medio de diccionario u otro medio entrar al sistema.

En la anterior imagen, podemos comprobar que el Administrador,Anna y Luis, tienen demasiados fallos en el inicio de sesión, por lo que que habría que estudiar cual es el motivo. En el script podemos ajustar el tiempo para que lo muestre por minutos, dandonos una mejor visión.

saludos y gracias a conexioninversa

No hay comentarios:

Powered by Bad Robot
Helped by Blackubay