FAQ
FEEDBACKS
Aula Prática Computação forense
ROTEIRO DE AULA PRÁTICA
NOME DA DISCIPLINA: Computação forense
Unidade 3
Seção 3.1
OBJETIVOS
Definição dos objetivos da aula prática:
Utilizar habilidades de análise forense para investigar um caso fictício de intrusão em um
sistema de computador, utilizando logs fictícios para identificar o evento de intrusão.
INFRAESTRUTURA
Instalações:
Laboratório de Informática
Materiais de consumo:
Descrição
Quantid. de materiais por
procedimento/atividade
Não se aplica
Software:
Sim ( X ) Não ( )
Em caso afirmativo, qual? Software para elaboração de relatório (Word, Bloco de notas, etc.)
Pago ( ) Não Pago ( X )
Tipo de Licença: -.
Descrição do software:
Software que permita aos usuários criar, modificar e visualizar documentos de texto.
Equipamento de Proteção Individual (EPI):
Não se aplica.
PROCEDIMENTOS PRÁTICOS
Procedimento/Atividade Nº 1
Atividade proposta:
3
Você é um analista forense que precisa analisar um relato suspeito de atividade maliciosa em seus
servidores. Seu trabalho é analisar os logs fornecidos e determinar a natureza da atividade,
identificar o ponto de entrada e fornecer recomendações para evitar incidentes futuros.
Procedimentos para a realização da atividade:
Para a realização desta aula prática você deverá ter algum software para edição de texto
instalado no seu computador e, com ele, redigir um relatório de análise do ataque.
Preparação e Coleta de Logs
1. Ambiente de Análise: prepare um ambiente seguro para análise, garantindo que os logs
não sejam alterados.
2. Coleta de Logs: foram fornecidos os seguintes logs suspeitos extraídos do servidor:
Jun 15 22:45:01 server1 sshd[1952]: Failed password for root from 192.168.1.105
port 54022 ssh2
Jun 15 22:45:03 server1 sshd[1953]: Failed password for root from 192.168.1.105
port 54024 ssh2
Jun 15 22:45:06 server1 sshd[1954]: Accepted password for root from 192.168.1.105
port 54026 ssh2
Jun 15 22:46:10 server1 sudo: pam_unix(sudo:session): session opened for user root
by (uid=0)
Jun 15 22:47:30 server1 sudo: pam_unix(sudo:session): session closed for user root
Jun 15 22:48:05 server1 sshd[2001]: Received disconnect from 192.168.1.105 port
54026:11: disconnected by user
Jun 15 22:48:05 server1 sshd[2001]: Disconnected from 192.168.1.105 port 54026
Análise dos Logs
1. Análise Inicial: analise cada entrada do log para identificar comportamentos suspeitos,
como tentativas de login falhas seguidas por um sucesso.
2. IP e Ações do Usuário: identifique o endereço IP do qual as tentativas de login se originaram
e as ações realizadas após o acesso bem-sucedido.
3. Determinação de Atividades: avalie as atividades realizadas durante a sessão sudo para
determinar se foram maliciosas.
Relatório e Recomendações
1. Elabore um Relatório de Incidente: com base em sua análise, crie um relatório detalhando
a intrusão, incluindo o método de entrada, as atividades realizadas e o IP do invasor.
2. Recomendações de Segurança: forneça recomendações sobre como a empresa pode
reforçar sua segurança para prevenir intrusões similares.
Checklist:
4
1. Preparação e coleta dos logs;
2. Analise inicial e determinação de atividades maliciosas;
3. Elaboração de relatório de incidente;
4. Elaboração de recomendações de segurança;
RESULTADOS
Resultados da aula prática:
É desejável que o aluno desenvolva habilidades práticas de análise forense através da capacidade
de analisar logs de uma atividade suspeita e conseguir elaborar um relatório descritivo bem como
um documento de recomendações de segurança.
Aula Prática Computação forense
Produtos relacionados
