Cloud Log Forensik

Definition

Mit Log-basierter Cloud Forensik – auch als "Cloud Log Forensik (CLF)" bekannt – wird die Anwendung forensischer Prozesse auf Log-Daten Cloud-basierter Systeme bezeichnet.^[1]

Thematische Einordnung

Bei der CLF handelt es sich um ein Teilgebiet der Cloud-Forensik, welche wiederum ein Teilgebiet der [[|IT-Forensik|Digitalforensik]] darstellt^[2].
Dabei werden die üblichen Speicher- und Systemabbilder (in der Regel in Form von Snapshots) durch eine forensische Betrachtung der Logfiles ergänzt. Die Methodik berücksichtigt dabei auch Besonderheiten, die in Cloud-Umgebungen zu beachten sind (siehe auch Abschnitt 'Besondere Cloud-Charakteristika').

Die beiden maßgeblichen Ziele der CLF sind die zeitnahe Warnung beim Auftreten von Unregelmäßigkeiten sowie die Erbringung von Hinweisen (Spuren) zur vereinfachten Auswertung. Anwendung findet die CLF damit u. a. im Security Information and Event Management (SIEM), Logging as a Service (LaaS) und der Digital Forensics & Incident Response (DFIR).

Bei der CLF liegt der Fokus auf den Aspekten^[1]:

der allgemeinen "Forensicability"^[3] (siehe Beweissicherung und eDiscovery) der Cloud-Umgebung,
der erforderlichen strategischen Vorbereitung (im Rahmen des forensischen Prozesses gem. BSI-Vorgehensmodell),
der Etablierung eines zentralen Loggings (für die verteilten Cloud-basierten sowie OnPrem-Systeme wie Firewall, Datenbanken und -speicher, VMs und Hypervisor, Anwendungen und Dienste) im Rahmen der Vorsorge für die IT-Forensik gemäß Prozessbausteins DER.2.2 des IT-Grundschutzkompendiums,
der dadurch angestrebten beziehungsweise zusätzlich unterstützten Forensic Readiness sowie
der Gerichtsfestigkeit der hierdurch bereitgestellten Spuren.

Besondere Cloud-Charakteristika

Cloud-Umgebungen unterscheiden sich durch ihre besonderen Charakteristiken wie Virtualisierung, Multi-Tenant-Architektur (und der damit verbundenen Orts-, Zugriffs-, Persistenz- und Skalierungs-Transparenz) sowie der Shared-Responsibility (zwischen Cloud Service Provider (CSP) und Cloud-User (CU)) sowie weiteren Aspekten wie Datenschutz^[4] und grenzüberschreitende Rechtsanwendung^[2] (multi-jurisdiction) maßgeblich von konventionellen (OnPrem) IT-Landschaften.
Diese Parameter beeinflussen auch die Ablage von Informationen in Log-Files, so dass eine ‚einfache‘, vor Gericht verwendbare Auswertung (Datensammlung und Ermittlungsarbeit) derselbigen oft nicht durchführbar ist^[5]. Werden Informationen aus zentral gespeicherten Dateien extrahiert muss beispielsweise immer betrachtet werden, ob diese in der Form auch verwendbar sind, oder ob lokale Gesetze aus dem Land des Cloud-Providers oder des Cloud-Users dagegen sprechen^[6]. Dieser Besonderheit soll mittels neuer Betrachtungsweisen, angepasster Werkzeuge & Methoden, Frameworks und Taxonomien sowie offener Forschungsfragen Rechnung getragen werden.^[7]

Anwendung von CLF in der Praxis (Continual- und Sporadic Forensics)

folgt

Selbstauskunft der CSP gem. BSI-C5-Katalog und Cloud Control Matrix (CCM)

folgt

↑ ^1,0 ^1,1 Ghosh, A., De, D., Majumder, K. (2021) "A Systematic Review of Log-Based Cloud Forensics." In: Smys, S., Balas, V.E., Kamel, K.A., Lafata, P. (eds) "Inventive Computation and Information Technologies" Lecture Notes in Networks and Systems, vol 173. Springer, Singapore. https://doi.org/10.1007/978-981-33-4305-4_26
↑ ^2,0 ^2,1 Ruan, Keyun & Carthy, Joe & Kechadi, Tahar & Crosbie, Mark. (2011) "Cloud forensics: An overview"
↑ Simou, Stavros, et al. "A framework for designing cloud forensic forensic-enabled services (CFeS)." Requirements Engineering 24.3 (2019): 403-430.
↑ Shaun, M. Akbar. (2020) "A Compendium of Cloud Forensics" http://dx.doi.org/10.4018/978-1-7998-1558-7.ch012.
↑ T. Sang "A Log Based Approach to Make Digital Forensics Easier on Cloud Computing" In: "Third International Conference on Intelligent System Design and Engineering Applications", 2013, pp. 91-94 doi: 10.1109/ISDEA.2012.29.
↑ https://en.wikipedia.org/wiki/Cloud_computing_security#Legal_and_contractual_issues
↑ Referenzfehler: Es ist ein ungültiger <ref>-Tag vorhanden: Für die Referenz namens Gosh21 wurde kein Text angegeben.

[Ghosh21-1] 1,0 ^1,1 Ghosh, A., De, D., Majumder, K. (2021) "A Systematic Review of Log-Based Cloud Forensics." In: Smys, S., Balas, V.E., Kamel, K.A., Lafata, P. (eds) "Inventive Computation and Information Technologies" Lecture Notes in Networks and Systems, vol 173. Springer, Singapore. https://doi.org/10.1007/978-981-33-4305-4_26

[Ruan11-2] 2,0 ^2,1 Ruan, Keyun & Carthy, Joe & Kechadi, Tahar & Crosbie, Mark. (2011) "Cloud forensics: An overview"

[Simou19-3] Simou, Stavros, et al. "A framework for designing cloud forensic forensic-enabled services (CFeS)." Requirements Engineering 24.3 (2019): 403-430.

[Shaun20-4] Shaun, M. Akbar. (2020) "A Compendium of Cloud Forensics" http://dx.doi.org/10.4018/978-1-7998-1558-7.ch012.

[Sang13-5] T. Sang "A Log Based Approach to Make Digital Forensics Easier on Cloud Computing" In: "Third International Conference on Intelligent System Design and Engineering Applications", 2013, pp. 91-94 doi: 10.1109/ISDEA.2012.29.

[wikipedia1-6] ttps://en.wikipedia.org/wiki/Cloud_computing_security#Legal_and_contractual_issues

[Gosh21-7] Referenzfehler: Es ist ein ungültiger <ref>-Tag vorhanden: Für die Referenz namens Gosh21 wurde kein Text angegeben.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

Anonym

Suche

Cloud Log Forensik

Namensräume

Mehr

Seitenaktionen

Inhaltsverzeichnis

Definition

Thematische Einordnung

Besondere Cloud-Charakteristika

Anwendung von CLF in der Praxis (Continual- und Sporadic Forensics)

Selbstauskunft der CSP gem. BSI-C5-Katalog und Cloud Control Matrix (CCM)

Navigation

Navigation

Fernstudiengänge

Wikiwerkzeuge

Wikiwerkzeuge

Anonym

Suche

Cloud Log Forensik

Definition

Thematische Einordnung

Besondere Cloud-Charakteristika

Anwendung von CLF in der Praxis (Continual- und Sporadic Forensics)

Selbstauskunft der CSP gem. BSI-C5-Katalog und Cloud Control Matrix (CCM)

Navigation

Wikiwerkzeuge

Seitenwerkzeuge

Kategorien