{"id":147957,"date":"2022-12-14T14:22:37","date_gmt":"2022-12-14T14:22:37","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/come-monitorare-i-file-log4j-utilizzando-ninjaone\/"},"modified":"2025-11-28T08:36:00","modified_gmt":"2025-11-28T08:36:00","slug":"come-monitorare-i-file-log4j-utilizzando-ninjaone","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/it\/blog\/come-monitorare-i-file-log4j-utilizzando-ninjaone\/","title":{"rendered":"Come monitorare i file Log4j utilizzando NinjaOne"},"content":{"rendered":"<p>Con le notizie che si susseguono in merito a <a href=\"https:\/\/www.lunasec.io\/docs\/blog\/log4j-zero-day\/\" target=\"_blank\" rel=\"noopener\">Log4Shell (CVE-2021-44228)<\/a> e ai sempre pi\u00f9 diffusi tentativi di sfruttarlo, gli MSP e i team IT stanno lavorando senza sosta per monitorare i file Log4j, capire se sono stati esposti alla minaccia, rilevare potenziali IoC, applicare forme di riduzione del rischio e risolvere i problemi.<\/p>\n<p><a href=\"https:\/\/www.techsolvency.com\/story-so-far\/cve-2021-44228-log4j-log4shell\/\" target=\"_blank\" rel=\"noopener\">Poich\u00e9 questa vulnerabilit\u00e0 riguarda un cos\u00ec elevato numero di applicazioni<\/a> e poich\u00e9 non tutti i fornitori sono stati in grado di fornire informazioni chiare sull&#8217;eventualit\u00e0 che i loro prodotti siano stati interessati (<a href=\"https:\/\/www.ninjaone.com\/it\/blog\/aggiornamenti-ninjaone-sulla-vulnerabilita-log4j\/\">nota: NinjaOne non \u00e8 stato interessato<\/a>), stabilire quali sistemi sono potenzialmente vulnerabili costituisce una grande sfida.<\/p>\n<p>Questo problema ha spinto alcuni ricercatori e membri della comunit\u00e0 della sicurezza a creare script e strumenti da utilizzare per scansionare gli ambienti alla ricerca di file Log4j potenzialmente vulnerabili e di segni di IoC.<\/p>\n<p>Tra gli esempi ci sono:<\/p>\n<ul>\n<li><a href=\"https:\/\/log4shell.huntress.com\/\" target=\"_blank\" rel=\"noopener\">Il tester di vulnerabilit\u00e0 a Log4Shell di Huntress<\/a><\/li>\n<li><a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-detecting-log4j-files\/\" target=\"_blank\" rel=\"noopener\">Lo script per il rilevamento dei file Log4j<\/a> di Kelvin Tegelaar<\/li>\n<li>\u00a0<a href=\"https:\/\/ninjarmm.zendesk.com\/hc\/en-us\/community\/posts\/4416326416397-Log4j\" target=\"_blank\" rel=\"noopener\">Ninja-Log4shell-Scanner<\/a> di Jan Scholte<\/li>\n<li><a href=\"https:\/\/github.com\/N-able\/ScriptsAndAutomationPolicies\/blob\/master\/Vulnerability%20-%20CVE-2021-44228%20(Log4j)\/get-log4jrcevulnerability.ps1\" target=\"_blank\" rel=\"noopener\">get-log4jrcevulnerability.ps1 di Prejay Shah<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/datto\/log4shell-tool\" target=\"_blank\" rel=\"noopener\">Lo strumento di enumerazione, riduzione del rischio e rilevamento degli attacchi Log4Shell di Datto<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/AshtonSolutions\/log4j-ninja-scanner\" target=\"_blank\" rel=\"noopener\">Log4j\/Log4Shell PowerShell Scan, progettato da AshtonSolutions per essere usato con NinjaOne<\/a><\/li>\n<li>\u00a0<a class=\"ext\" href=\"https:\/\/github.com\/mubix\/CVE-2021-44228-Log4Shell-Hashes\" data-extlink=\"\" target=\"_blank\" rel=\"noopener\">CVE-2021-44228-Log4Shell-Hashes<\/a> di Rob Fuller<\/li>\n<li><a href=\"https:\/\/github.com\/Neo23x0\/log4shell-detector\" target=\"_blank\" rel=\"noopener\">log4shell-detector di Florian Roth<\/a> (che rileva i tentativi di exploitation e NON le applicazioni vulnerabili)<\/li>\n<\/ul>\n<p>La decisione di utilizzare uno degli script disponibili dipende esclusivamente da te (naturalmente ti consigliamo di fare sempre delle prove e le necessarie ricerche); se trovi uno script che desideri provare, questo post ti mostrer\u00e0 un esempio di come distribuirlo sulla tua rete sfruttando i <a href=\"https:\/\/www.ninjaone.com\/it\/blog\/applicazioni-avanzate-dei-campi-personalizzati-in-ninjaone-prima-parte\/\">campi personalizzati<\/a>\u00a0di NinjaOne.<\/p>\n<p>Prima di approfondire questo argomento, se stai cercando di migliorare le tue conoscenze su Log4Shell ti consigliamo di consultare le seguenti eccellenti risorse:<\/p>\n<ul>\n<li><a href=\"https:\/\/youtu.be\/igoDXnkYDy8?t=604\" target=\"_blank\" rel=\"noopener\">Una eccellente spiegazione di cosa sia Log4Shell di John Strand, sul canale YouTube di Black Hills Information Security<\/a>\n<ul>\n<li><a href=\"https:\/\/www.youtube.com\/watch?v=igoDXnkYDy8&amp;t=1200s\" target=\"_blank\" rel=\"noopener\">Vai direttamente alla parte in cui si parla di riduzione dei rischi qui<\/a><\/li>\n<\/ul>\n<\/li>\n<li><a href=\"https:\/\/www.huntress.com\/blog\/rapid-response-critical-rce-vulnerability-is-affecting-java\" target=\"_blank\" rel=\"noopener\">Una buona panoramica di Log4Shell con aggiornamenti regolari da parte di Huntress<\/a><\/li>\n<li><a href=\"https:\/\/www.cisa.gov\/uscert\/apache-log4j-vulnerability-guidance\" target=\"_blank\" rel=\"noopener\">La guida alle vulnerabilit\u00e0 di Log4j di CISA<\/a><\/li>\n<\/ul>\n<h2>Ecco un esempio di come monitorare i file Log4j utilizzando NinjaOne<\/h2>\n<p>Per configurare un monitoraggio personalizzato che rilevi la presenza di file di libreria Log4J sugli endpoint in NinjaOne, avrai bisogno di:<\/p>\n<ol>\n<li>Un <a href=\"https:\/\/www.ninjaone.com\/it\/blog\/applicazioni-avanzate-dei-campi-personalizzati-in-ninjaone-prima-parte\/\">campo personalizzato<\/a><\/li>\n<li>Uno script che raccolga e memorizzi i dati (vedi l\u2019esempio che segue; in alternativa fai riferimento ad altri esempi citati in precedenza)<\/li>\n<li>Una condizione personalizzata per creare un avviso<\/li>\n<li>Un metodo per distribuire lo script di rilevamento<\/li>\n<\/ol>\n<h3><strong>Configurare il campo personalizzato<\/strong><\/h3>\n<p>Il campo personalizzato sar\u00e0 utilizzato per memorizzare i dati restituiti dallo script di rilevamento.<\/p>\n<p>1) Aggiungi un nuovo campo personalizzato. Dal momento che monitoreremo il risultato dello script su tutti gli endpoint, creeremo un <strong>campo personalizzato globale<\/strong>.<\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"alignnone size-full wp-image-102828\" src=\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2023\/10\/ninja-screen-log4j.png\" alt=\"ninja-screen-log4j\" width=\"780\" height=\"125\" \/><\/p>\n<p>2) Il campo personalizzato avr\u00e0 come nome <strong>log4j<\/strong> e sar\u00e0 impostato come tipo <strong>Multilinea<\/strong>. Utilizziamo il tipo multilinea perch\u00e9 ogni endpoint pu\u00f2 avere pi\u00f9 file con vulnerabilit\u00e0. Il tipo multilinea consentir\u00e0 di rendere pi\u00f9 leggibili queste informazioni.<\/p>\n<p><img decoding=\"async\" class=\"alignnone size-full wp-image-102841\" src=\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2023\/10\/create-field-log4j.png\" alt=\"create-field-log4j\" width=\"458\" height=\"286\" \/><\/p>\n<p>3) Poi dovremo configurare il campo personalizzato. Procederemo quindi impostando <strong>Accesso script<\/strong> su <strong>Lettura\/Scrittura<\/strong>.<\/p>\n<p><em><strong>Nota: <\/strong>se l\u2019accesso script non \u00e8 impostato su \u201cScrittura\u201d o \u201cLettura\/Scrittura\u201d, non sarai in grado di scrivere in questo campo con uno script.<\/em><\/p>\n<p><img decoding=\"async\" class=\"alignnone size-full wp-image-102853\" src=\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2023\/10\/text-log4j.png\" alt=\"text-log4j\" width=\"650\" height=\"340\" \/><\/p>\n<p>Se stiamo configurando un campo personalizzato globale, questo \u00e8 tutto ci\u00f2 che serve fare.<\/p>\n<h3><strong>Creazione di uno script per estrarre i dati<\/strong><\/h3>\n<p>A scopo illustrativo, utilizzeremo uno script di esempio basato su quello di Kelvin Tegelaar fornito su <a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-detecting-log4j-files\/\" target=\"_blank\" rel=\"noopener\">CyberDrain<\/a> e nella <a href=\"https:\/\/ninjarmm.zendesk.com\/hc\/en-us\/community\/posts\/4416918246669-CyberDrain-com-Log4J-Detection\" target=\"_blank\" rel=\"noopener\">NinjaOne Community Dojo<\/a>. La differenza principale con lo script di Kelvin \u00e8 che questo utilizza uno strumento esterno chiamato \u201cEverything\u201d che ne velocizza l\u2019esecuzione.<\/p>\n<p>Tieni presente che sono disponibili altri script a cui puoi fare riferimento e che possono essere personalizzati\u00a0, tra cui:<\/p>\n<ul>\n<li>\u00a0<a href=\"https:\/\/ninjarmm.zendesk.com\/hc\/en-us\/community\/posts\/4416326416397-Log4j\" target=\"_blank\" rel=\"noopener\">Ninja-Log4shell-Scanner<\/a> di Jan Scholte<\/li>\n<li><a href=\"https:\/\/github.com\/N-able\/ScriptsAndAutomationPolicies\/blob\/master\/Vulnerability%20-%20CVE-2021-44228%20(Log4j)\/get-log4jrcevulnerability.ps1\" target=\"_blank\" rel=\"noopener\">get-log4jrcevulnerability.ps1 di Prejay Shah<\/a><\/li>\n<\/ul>\n<p>Questi script potrebbero fornire risultati pi\u00f9 rapidi ed efficienti.<\/p>\n<p><strong>*** Dichiarazione di non responsabilit\u00e0: L\u2019utilizzo di questi script in NinjaOne avviene a tua discrezione e a tuo rischio. ***<\/strong><\/p>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"generic\">$array = @()\r\n$Drives = Get-PSDrive -PSProvider 'FileSystem'<\/pre>\n<p>foreach($Drive in $Drives) {<\/p>\n<p>$drivePath = $Drive.name + &#8220;:&#8221;,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,<br \/>\n$array += gci $drivePath -rec -force -include *.jar -ea 0 | foreach {select-string &#8220;&#8221;JndiLookup.class&#8221;&#8221; $_} | select -exp Path&#8221;<\/p>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"generic\"><\/pre>\n","protected":false},"excerpt":{"rendered":"<p>Con le notizie che si susseguono in merito a Log4Shell (CVE-2021-44228) e ai sempre pi\u00f9 diffusi tentativi di sfruttarlo, gli MSP e i team IT stanno lavorando senza sosta per monitorare i file Log4j, capire se sono stati esposti alla minaccia, rilevare potenziali IoC, applicare forme di riduzione del rischio e risolvere i problemi. Poich\u00e9 [&hellip;]<\/p>\n","protected":false},"author":35,"featured_media":132920,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4367],"tags":[],"class_list":["post-147957","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicurezza"],"acf":[],"modified_by":"Sergio Oricci","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/147957","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/users\/35"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/comments?post=147957"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/147957\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media\/132920"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media?parent=147957"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/categories?post=147957"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/tags?post=147957"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}