Los logs desde otros dispositivos pueden ser excelentes para corroborar la actividad observada sobre la red. Sin embargo son fáciles de modificar, por lo tanto el profesional debe asegurarse los archivos logs sean capturados tan pronto como sea posible cuando son recibidos. Adicionalmente los logs deben mantenerse en un repositorio de solo lectura, donde únicamente personal autorizado pueda acceder a estos.
Es común durante un investigación los archivos sean recortados. Es importante estas actividades no sean realizados sobre los archivos originales, además todas las subsecuentes ediciones guardadas claramente identifiquen aquello lo cual cambió y el nombre del archivo original.
Los logs de texto se comprime realmente bien, y una buena solución para gestionar logs asegura estén disponibles para el profesional por una duración suficiente. Para servidores críticos es recomendado retener evidencia de logs por tanto tiempo permita la política para la retención de datos. Considerar los plazos de tiempo para la detección de brechas frecuentemente crecen hacia un año o más, y sin evidencia será casi imposible ejecutar una investigación creíble. La calidad del log es un aspecto importante, y quienes responden a incidentes y profesionales forenses deben revisar el tipo y contenido de logs durante la “Etapa de Preparación”.
Fuentes:
https://www.rapid7.com/blog/post/2016/08/12/using-log-data-as-forensic-…