Cloud Log Forensik: Unterschied zwischen den Versionen
Aus IT-Forensik Wiki
Keine Bearbeitungszusammenfassung |
|||
| Zeile 3: | Zeile 3: | ||
== Thematische Einordnung == | == Thematische Einordnung == | ||
Bei der CLF handelt es sich um ein Teilgebiet der Cloud-Forensik, welche wiederum ein Teilgebiet der [[|IT-Forensik|Digitalforensik]] darstellt<ref>Ruan, Keyun & Carthy, Joe & Kechadi, Tahar & Crosbie, Mark. (2011) "Cloud forensics: An overview"</ref>. | Bei der CLF handelt es sich um ein Teilgebiet der Cloud-Forensik, welche wiederum ein Teilgebiet der [[|IT-Forensik|Digitalforensik]] darstellt<ref>Ruan, Keyun & Carthy, Joe & Kechadi, Tahar & Crosbie, Mark. (2011) "Cloud forensics: An overview"</ref>. <br> | ||
Dabei werden die üblichen Speicher- und Systemabbilder (in der Regel in Form von Snapshots) durch eine forensische Betrachtung der Logfiles ergänzt. Die Methodik berücksichtigt dabei auch Besonderheiten, die in Cloud-Umgebungen zu beachten sind (siehe auch Abschnitt 'Besondere Cloud-Charakteristika'). | Dabei werden die üblichen Speicher- und Systemabbilder (in der Regel in Form von Snapshots) durch eine forensische Betrachtung der Logfiles ergänzt. Die Methodik berücksichtigt dabei auch Besonderheiten, die in Cloud-Umgebungen zu beachten sind (siehe auch Abschnitt 'Besondere Cloud-Charakteristika'). | ||
Die beiden maßgeblichen Ziele der CLF sind die zeitnahe Warnung beim Auftreten von Unregelmäßigkeiten sowie die Erbringung von Hinweisen ([[Spuren]]) zur vereinfachten Auswertung. Anwendung findet die CLF damit u. a. im Security Information and Event Management ([[Security_Information_and_Event_Management_(SIEM)|SIEM]]), Logging as a Service ([https://en.wikipedia.org/wiki/Logging_as_a_service LaaS]) und der Digital Forensics & [[Incident-Response-Team|Incident Response]] (DFIR). | Die beiden maßgeblichen Ziele der CLF sind die zeitnahe Warnung beim Auftreten von Unregelmäßigkeiten sowie die Erbringung von Hinweisen ([[Spuren]]) zur vereinfachten Auswertung. Anwendung findet die CLF damit u. a. im Security Information and Event Management ([[Security_Information_and_Event_Management_(SIEM)|SIEM]]), Logging as a Service ([https://en.wikipedia.org/wiki/Logging_as_a_service LaaS]) und der Digital Forensics & [[Incident-Response-Team|Incident Response]] (DFIR). | ||
Bei der CLF liegt der Fokus auf den Aspekten<ref name="Ghosh21" />: | Bei der CLF liegt der Fokus auf den Aspekten<ref name="Ghosh21" />: | ||
* der allgemeinen "Forensicability"<ref>Simou, Stavros, et al. "A framework for designing cloud forensic forensic-enabled services (CFeS)." Requirements Engineering 24.3 (2019): 403-430.</ref> (siehe [[Litigation_Hold|Beweissicherung]] und [https://de.wikipedia.org/wiki/EDiscovery eDiscovery]) der Cloud-Umgebung, | * der allgemeinen "Forensicability"<ref name="Simou19">Simou, Stavros, et al. "A framework for designing cloud forensic forensic-enabled services (CFeS)." Requirements Engineering 24.3 (2019): 403-430.</ref> (siehe [[Litigation_Hold|Beweissicherung]] und [https://de.wikipedia.org/wiki/EDiscovery eDiscovery]) der Cloud-Umgebung, | ||
* der erforderlichen [[Strategische_Vorbereitung|strategischen Vorbereitung]] (im Rahmen des forensischen Prozesses gem. [[BSI-Vorgehensmodell]]), | * der erforderlichen [[Strategische_Vorbereitung|strategischen Vorbereitung]] (im Rahmen des forensischen Prozesses gem. [[BSI-Vorgehensmodell]]), | ||
* der [https://it-forensik.fiw.hs-wismar.de/index.php/Vorsorge_f%C3%BCr_die_IT-Forensik#Etablierung_eines_zentralen_Loggings Etablierung eines zentralen Loggings] (für die verteilten Cloud-basierten sowie OnPrem-Systeme wie Firewall, Datenbanken und -speicher, VMs und Hypervisor, Anwendungen und Dienste) im Rahmen der Vorsorge für die IT-Forensik gemäß Prozessbausteins DER.2.2 des IT-Grundschutzkompendiums, | * der [https://it-forensik.fiw.hs-wismar.de/index.php/Vorsorge_f%C3%BCr_die_IT-Forensik#Etablierung_eines_zentralen_Loggings Etablierung eines zentralen Loggings] (für die verteilten Cloud-basierten sowie OnPrem-Systeme wie Firewall, Datenbanken und -speicher, VMs und Hypervisor, Anwendungen und Dienste) im Rahmen der Vorsorge für die IT-Forensik gemäß Prozessbausteins DER.2.2 des IT-Grundschutzkompendiums, | ||
Version vom 12. Juli 2022, 08:39 Uhr
Definition
Mit Log-basierter Cloud Forensik – auch als "Cloud Log Forensik (CLF)" bekannt – wird die Anwendung forensischer Prozesse auf Log-Daten Cloud-basierter Systeme bezeichnet.[1]
Thematische Einordnung
Bei der CLF handelt es sich um ein Teilgebiet der Cloud-Forensik, welche wiederum ein Teilgebiet der [[|IT-Forensik|Digitalforensik]] darstellt[2].
Dabei werden die üblichen Speicher- und Systemabbilder (in der Regel in Form von Snapshots) durch eine forensische Betrachtung der Logfiles ergänzt. Die Methodik berücksichtigt dabei auch Besonderheiten, die in Cloud-Umgebungen zu beachten sind (siehe auch Abschnitt 'Besondere Cloud-Charakteristika').
Die beiden maßgeblichen Ziele der CLF sind die zeitnahe Warnung beim Auftreten von Unregelmäßigkeiten sowie die Erbringung von Hinweisen (Spuren) zur vereinfachten Auswertung. Anwendung findet die CLF damit u. a. im Security Information and Event Management (SIEM), Logging as a Service (LaaS) und der Digital Forensics & Incident Response (DFIR).
Bei der CLF liegt der Fokus auf den Aspekten[1]:
- der allgemeinen "Forensicability"[3] (siehe Beweissicherung und eDiscovery) der Cloud-Umgebung,
- der erforderlichen strategischen Vorbereitung (im Rahmen des forensischen Prozesses gem. BSI-Vorgehensmodell),
- der Etablierung eines zentralen Loggings (für die verteilten Cloud-basierten sowie OnPrem-Systeme wie Firewall, Datenbanken und -speicher, VMs und Hypervisor, Anwendungen und Dienste) im Rahmen der Vorsorge für die IT-Forensik gemäß Prozessbausteins DER.2.2 des IT-Grundschutzkompendiums,
- der dadurch angestrebten beziehungsweise zusätzlich unterstützten Forensic Readiness sowie
- der Gerichtsfestigkeit der hierdurch bereitgestellten Spuren.
Besondere Cloud-Charakteristika
folgt
Anwendung von CLF in der Praxis (Continual- und Sporadic Forensics)
folgt
Selbstauskunft der CSP gem. BSI-C5-Katalog und Cloud Control Matrix (CCM)
folgt
- ↑ 1,0 1,1 Ghosh, A., De, D., Majumder, K. (2021) "A Systematic Review of Log-Based Cloud Forensics." In: Smys, S., Balas, V.E., Kamel, K.A., Lafata, P. (eds) "Inventive Computation and Information Technologies" Lecture Notes in Networks and Systems, vol 173. Springer, Singapore. https://doi.org/10.1007/978-981-33-4305-4_26
- ↑ Ruan, Keyun & Carthy, Joe & Kechadi, Tahar & Crosbie, Mark. (2011) "Cloud forensics: An overview"
- ↑ Simou, Stavros, et al. "A framework for designing cloud forensic forensic-enabled services (CFeS)." Requirements Engineering 24.3 (2019): 403-430.
