Utilizando logs de auditoria para ter visibilidade de informações sobre o seu ambiente

Beatriz Oliveira - Jan 5 '20 - - Dev Community

Vários sistemas geram logs de auditoria ao longo do seu ciclo de vida, mas muitas das vezes eles só sāo procurados quando acontece algum problema muito crítico e geralmente eles não estão centralizados em nenhum lugar, fazendo com que seja necessário acessar várias máquinas em busca da informação desejada.

Entretanto, entrar em vários hosts procurando a causa raiz de um problema leva muito tempo e geralmente é necessário ser ágil no troubleshooting, por isso, nesse artigo vou falar um pouco sobre como esses logs podem nos auxiliar no dia a dia e como centralizar eles no Elasticsearch, para tornar sua busca mais fácil e rápida.

O que sāo logs de auditoria?

Os logs de auditoria são uma fonte de dados muito importante, pois através deles é possível ter visão das atividades que ocorreram no sistema. Geralmente eles são usados para verificar desempenho ou possíveis falhas, além disso, eles também são utilizados em análises de segurança.

Através deles, também é possível verificar quem executou uma ação e como ela foi executada, isso gera rastreabilidade de um fluxo de ações que serve para o responsável pela aplicação investigar o que aconteceu em determinado momento no sistema. Isso é bastante utilizado para ajudar a entender como aconteceu um ou vários problemas, além de servir como base de conhecimento para evitar problemas similares no futuro.

Que tipos de problemas posso encontrar através dos logs de auditoria?

Você pode consultar logs de auditoria para visualizar alguns casos como esses: 

  • Obter informações sobre usuários que tenham privilégios indevidos a alguns serviços ou dados específicos.
  • Verificar quando arquivos foram acessados, alterados ou excluídos.

Para que isso ocorra de maneira correta, é necessário que os logs sejam armazenados em alguma ferramenta de centralizaçāo de logs, de modo que seja possível consultar o comportamento antes, durante e depois do evento. Além disso, é de extrema importância que todas as informações contidas nos logs estejam armazenadas de maneira segura, pois geralmente, os dados presentes neles sāo status sensíveis sobre o seu ambiente, por isso é necessário ter atençāo e bastante cuidado nesse ponto.

Como você pode ter visāo dos logs?

No sistema operacional linux, os mais comuns são:

  • Logs de autenticação: /var/log/auth.log
  • Logs gerais do sistema: /var/log/messages
  • Logs de inicialização do sistema: /var/log/boot.log
  • Logs do servidor de e-mail: /var/log/maillog
  • Logs do apache: /var/log/httpd/

Já no Windows, você conseguirá ter acesso aos logs pelo Event Viewer, que é a interface que exibe os seguintes logs:

  • Logs de aplicação
  • Logs de segurança
  • Logs de configuraçāo
  • Logs de sistema

Centralização de logs de auditoria com o ELK

Atualmente o Elastic Stack é a ferramenta open source de centralizaçāo de logs que eu mais utilizo no meu dia a dia. Através dele eu consigo nāo só fazer a centralizaçāo dos logs, mas também tenho a opção de usar o SIEM para monitoraçāo dos eventos de segurança.

Se você quiser começar a coletar logs do seu ambiente e nāo souber por onde iniciar, vou deixar aqui algumas sugestões dos Beats da Elastic que podem ser utilizados.

Auditbeat: Através do Auditbeat é possível monitorar processos e acessos dos hosts linux, basta instalar ele nas máquinas e configurar para enviar os dados para o Elasticsearch e em poucos minutos você terá não só os logs, mas também dashboards com métricas incríveis que te darāo muitas informações importantes.

Winlogbeat: O Winlogbeat é um agente voltado para a monitoraçāo de logs de segurança e sistema do Windows, a instalaçāo e configuraçāo dele é bem similar a do Auditbeat e pode ser feita em poucos minutos.

Depois que esses Beats forem instalados em seu ambiente, você poderá ver os dados deles em dashboards separados e também na parte de SIEM do Kibana, pois eles suportam o Elastic Common Schema (ECS), que torna possível essa integraçāo.

E assim você conseguirá usufruir de recursos básicos de centralizaçāo de logs, visualização de métricas e eventos de seguranca em um só lugar.

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .