Digital Forensics:การจัดเก็บ Log file ให้ถูกกฎหมายด้วย 5 เครื่องมือ ใช้งานฟรีๆ 

🔼Log File คือ หลักฐานสำคัญในโลกไซเบอร์ เก็บให้ถูก อย่าเสี่ยง!" มาตรวจสอบกันว่าการเก็บ Log file ที่ถูกต้องตามกฎหมาย พ.ร.บ. คอมพิวเตอร์ต้องดูอะไรบ้าง!

Photo Credit: KEN CAFE Facebook

🔼 CIA Triad : 

1. Confidentiality (การรักษาความลับ) การปกป้องข้อมูลหรือระบบให้สามารถเข้าถึงได้เฉพาะผู้ที่มีสิทธิ์เท่านั้น

2. Integrity (ความถูกต้องและความครบถ้วน) การป้องกันไม่ให้ข้อมูลหรือระบบถูกดัดแปลงแก้ไขโดยไม่ได้รับอนุญาต

3. Availability (ความพร้อมใช้งาน)การทำให้ข้อมูลต้องพร้อมใช้งานตลอดเวลา เพื่อบ่งบอกประสิทธิภาพและความน่าเชื่อถือ

Photo Credit: KEN CAFE Facebook

🔼 รายละเอียด และวิธีเก็บ log ตาม พ.ร.บ. คอมพิวเตอร์

1. AAA Server

2. Email Server

3. Web Server

4. Router & Firewall

5. Proxy

Photo Credit: KEN CAFE Facebook

🔼 Centralized Log Management 

คือ ระบบบริหารจัดการข้อมูล Log File แบบศูนย์กลาง ซึ่งรองรับการจัดเก็บข้อมูล Log File จากเครื่องคอมพิวเตอร์เซิร์ฟเวอร์หรืออุปกรณ์เครือข่ายต่าง ๆ ได้แก่ Firewall, Router, Switch, Window Server, Linux Server, Web Server, Application Server และอื่น ๆ อีกมากมาย

Photo Credit: KEN CAFE Facebook

🔼 ใครบ้างที่ต้องเก็บ Log File

 1. ผู้ให้บริการอินเทอร์เน็ตแก่บุคคลทั่วไป

2. ผู้ให้บริการในการเก็บข้อมูลเพื่อประโยชน์ของบุคคลอื่น

Photo Credit: KEN CAFE Facebook

Photo Credit: KEN CAFE Facebook

🔼 วิธีเก็บ Log File อะไรบ้าง

การเก็บ Log File อย่างถูกกฎหมาย ต้องสอดคล้องกับหลักเกณฑ์ของ พ.ร.บ. คอมพิวเตอร์ พ.ศ. 2560 (และประกาศกระทรวงดิจิทัลฯ ปี 2564) ซึ่งระบุประเภทของข้อมูลจราจรคอมพิวเตอร์ (Traffic Data) ที่ต้องจัดเก็บไว้เพื่อให้สามารถ ระบุตัวตนผู้ใช้งานได้อย่างชัดเจน

- IP Address (หมายเลขไอพี)

- วัน/เวลาเริ่มต้น และสิ้นสุดการใช้งาน

- User ID / Account ที่ใช้งาน

- หมายเลขโทรศัพท์ (ถ้ามี)

- ชื่อ-ที่อยู่ของผู้ใช้งาน (จากการลงทะเบียน)

- MAC Address / Device ID

- Status Indictor (ข้อมูลสถานะการใช้งาน)

- Log จากอุปกรณ์เครือข่าย

- URL (จุดที่ผู้ใช้เข้าถึง)

Photo Credit: KEN CAFE Facebook

การจัดเก็บ Log file ให้ถูกกฎหมายด้วย 5 เครื่องมือ ใช้งานฟรีๆ

หลักการสำคัญในการจัดเก็บ Log File ตาม พ.ร.บ. คอมพิวเตอร์

เข้าใจหลักการสำคัญที่ พ.ร.บ. คอมพิวเตอร์กำหนดไว้ก่อน ซึ่งโปรแกรมที่ดีควรมีคุณสมบัติตรงตามหลักการเหล่านี้ :

1. ความถูกต้องและครบถ้วน : Log File ต้องบันทึกข้อมูลที่เกี่ยวข้องอย่างครบถ้วน เช่น วันที่ เวลา ผู้ใช้งาน IP Address การเข้าถึงข้อมูล การเปลี่ยนแปลงแก้ไข ฯลฯ

2. ความน่าเชื่อถือ : ข้อมูล Log File ต้องมีความน่าเชื่อถือ ไม่สามารถแก้ไขเปลี่ยนแปลงได้โดยง่าย และมีการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต

3. การเก็บรักษาตามระยะเวลา: ต้องสามารถเก็บรักษา Log File ตามระยะเวลาที่กฎหมายกำหนด (ปัจจุบันคืออย่างน้อย 90 วัน และเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการไว้อย่างน้อย 1 ปี)

4. การตรวจสอบได้ : ต้องมีกลไกที่สามารถตรวจสอบ Log File ได้ง่าย สะดวก และรวดเร็ว

5. การรักษาความลับ : ต้องมีมาตรการรักษาความลับของข้อมูล Log File เพื่อป้องกันการรั่วไหลหรือการนำไปใช้ในทางที่ผิด

--------------------------------

1. Wazuh สามารถใช้ในการจัดเก็บ Log File ได้ตามหลักการที่ พ.ร.บ. คอมพิวเตอร์กำหนด และเป็นเครื่องมือที่ได้รับความนิยมอย่างมากในด้าน Security Information and Event Management (SIEM) และ Extended Detection and Response (XDR) แบบ Open Source

.

2. Graylog เป็นอีกหนึ่งโปรแกรมที่สามารถใช้ในการจัดเก็บ Log File ได้ตามหลักการที่ พ.ร.บ. คอมพิวเตอร์กำหนด และเป็น Open Source SIEM (Security Information and Event Management) ที่ได้รับความนิยม

.

3. ELK Stack เป็นอีกหนึ่งโซลูชันที่ยอดเยี่ยมและได้รับความนิยมอย่างสูงในการจัดเก็บและจัดการ Log File ให้เป็นไปตามหลักการของ พ.ร.บ. คอมพิวเตอร์ และเป็น Open Source ที่มีความยืดหยุ่น และมีประสิทธิภาพมาก

.

4. Kiwi Syslog Server เป็นอีกหนึ่งโปรแกรมที่สามารถใช้ในการจัดเก็บ Log File ได้ โดยเฉพาะอย่างยิ่งสำหรับสภาพแวดล้อมของ Windows Server และอุปกรณ์เครือข่ายที่รองรับโปรโตคอล Syslog

.

5. Syslog-ng เป็นโปรแกรมจัดการ Log พื้นฐานบน Linux/Unix ที่มีความยืดหยุ่นสูง และใช้งานกันอย่างแพร่หลายในฐานะเครื่องมือหลักในการรวบรวม Log จากระบบและอุปกรณ์ต่างๆ แม้ว่าการวิเคราะห์และแสดงผลอาจต้องใช้เครื่องมืออื่นเสริม

.

คำแนะนำเพิ่มเติม :

ปรึกษาผู้เชี่ยวชาญ: หากไม่แน่ใจในการเลือกโปรแกรม ควรปรึกษาผู้เชี่ยวชาญด้าน IT Security หรือผู้ที่มีประสบการณ์ในการติดตั้งและใช้งานระบบ Log Management

ที่มา: KEN CAFE Facebook

ขออนุญาติแชร์บทความของ อาจารย์ Ken  หัวข้อ การจัดเก็บ Log file ให้ถูกกฎหมาย

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Exercise – Capturing RAM Memory 

Step-by-step guide

Launch FTK Imager: Open the FTK Imager application on your computer. 

Initiate memory capture: Click on File in the top menu bar, then select Capture Memory. 

Configure destination:

• Click the browse button (...) next to Destination Path. 
• Navigate to and select a folder where you want to save the image, preferably an external drive. 
• Enter a filename for the memory dump (e.g., memdump.mem).

Set options (optional but recommended):

• Include pagefile: Check the box to include the pagefile in the capture, which can provide additional data. 
• Create AD1 file: Check this box to create a single, compressed, and hashed image file that includes the memory dump and pagefile (if selected). 

Start the capture: Click the Capture Memory button to begin the process. A progress bar will show the status, and you will need to wait for it to finish. 

คำแนะนำแบบทีละขั้นตอน

1. เปิดโปรแกรม FTK Imager: เปิดโปรแกรม FTK Imager บนคอมพิวเตอร์ของคุณ

2. เริ่มการบันทึกภาพหน่วยความจำ: คลิกที่เมนู File บนแถบเมนูด้านบน แล้วเลือก Capture Memory

3. กำหนดค่าตำแหน่งบันทึกไฟล์:

   • คลิกปุ่มเบราว์เซอร์ (...) next to Destination Path

   • ไปยังและเลือกโฟลเดอร์ที่คุณต้องการบันทึกไฟล์ภาพ ซึ่งควรเป็นไดรฟ์ภายนอก

   • ใส่ชื่อไฟล์สำหรับข้อมูลหน่วยความจำ (เช่น memdump.mem)

4. กำหนดตัวเลือก (เป็นทางเลือกแต่แนะนำให้ทำ):

   • รวมไฟล์เพจ (Include pagefile): เลือกช่องนี้เพื่อรวมข้อมูลจาก pagefile ในการบันทึก ซึ่งอาจให้ข้อมูลเพิ่มเติม

   • สร้างไฟล์ AD1 (Create AD1 file): เลือกช่องนี้เพื่อสร้างไฟล์ภาพแบบเดี่ยวที่ถูกบีบอัดและมีค่าแฮช ซึ่งจะรวมการดัมป์หน่วยความจำและไฟล์เพจ (หากเลือกไว้)

5. เริ่มการบันทึก: คลิกปุ่ม Capture Memory เพื่อเริ่มกระบวนการ แถบแสดงสถานะจะแสดงความคืบหน้า และคุณต้องรอจนกว่ากระบวนการจะเสร็จสมบูรณ์

   

อ่านเพิ่มเติม

• Step-by-step guide for creating a disk image (FTK Imager)
• Acquiring an Image with FTK Imager
• Memory Forensic Tools
• Volatile Data
• Capture Live RAM Contents with Free Tool from Belkasoft!
• The Memory Process File System (MemProcFS)
• MAGNET AXIOM MEMORY ANALYSIS
• volatility-workbench

• ACE certification 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD