it-swarm-es.com

¿Cómo maneja el análisis de registros?

¿Cómo maneja el análisis de registros en su negocio?

Quiero establecer una buena forma de encontrar excepciones y alertas en los logs del servidor, ya sea de forma automática o semiautomática (teniendo que revisar excepciones y alertas).

¿Es esta funcionalidad la que generalmente maneja un IDS/IPS?

En este momento estoy recopilando todos los datos de registro de servidores web, bases de datos, syslog y demás en Splunk , y estoy considerando crear paneles de control de Splunk que me presenten entradas de registro extrañas y no normales. ¿Es este el camino correcto a seguir?

16
Chris Dale

OSSEC es un gran FOSS HIDS que funciona bien para reducir el número de eventos de registro necesita verificar algo potencialmente manejable.

Es compatible con todas las fuentes de registro que mencionó: http://www.ossec.net/main/supported-systems

Creamos una aplicación interna que nos permite hacer una “revisión diaria” rápida de todas las alertas que OSSEC dispara en un día; Por lo general, nos lleva menos de 20 minutos dar un visto bueno o iniciar una investigación de incidente. Para un entorno, recibimos ~ 70,000 alertas OSSEC por día, pero la mayoría de las alertas/eventos son grupos de eventos de autenticación o errores de aplicaciones que envían spam al sistema de registro, por ejemplo:

alt text

Ya que tiene Splunk en marcha, puede hacer la integración de Splunk + OSSEC: http://www.ossec.net/main/splunk-ossec-integration

El otro día vi un par de SIEM empresariales en acción; me sorprendió saber que aparentemente no tienen informes enlatados que detallen eventos de registro inusuales o raros. Los eventos inusuales y raros son con frecuencia los mejores indicadores de algo malo y pueden servir como su lista corta de eventos para perseguir hasta que los clientes potenciales se enfríen.

También usamos Logwatch como analizador de registros secundario.

10
Tate Hansen

Esta funcionalidad se logra generalmente con la ayuda de soluciones SIM o SIEM. Hay varios proveedores populares para estos CA, ArcSight, Loglogic, splunk, etc.

Puede recopilar los registros, estar informado sobre las alertas y tomar medidas en función de la correlación de reglas. Puede recopilar registros de todas las fuentes posibles, bases de datos, Unix, Windows, firewalls, etc.

4
Geek

Los métodos a menudo difieren según la escala y la ubicación; por ejemplo, el registro del perímetro de una empresa suele ser demasiado para que lo haga un equipo de alerta interno, por lo que generalmente se subcontrata a uno de los proveedores de servicios administrados, que luego transmitirá las alertas relevantes.

Para organizaciones más pequeñas, o para registros de hosts específicos, el problema es mucho más manejable; sin embargo, aún tendrá que observar cómo capacita y ajusta el proceso de alerta. Splunk y otros harán el trabajo, pero debe planificar la cantidad de recursos necesarios para cuidar durante las primeras semanas, en cualquier actualización o cambio en el entorno registrado, en cualquier cambio en los perfiles de ataque y, de hecho, continuamente hora.

Teniendo esto en cuenta, los mecanismos habituales son el uso de alertas estadísticas y basadas en firmas: las firmas son rápidas y los proveedores de servicios pueden actualizarlas, por lo que requieren poco esfuerzo, sin embargo, deben crearse para que, por lo general, no identifiquen nuevos tipos de ataque. mientras que las alertas estadísticas responden a cualquier cambio en el registro, por lo que puede terminar sobrecargado de falsos positivos hasta que sintonice.

2
Rory Alsop

Desde el punto de vista de la seguridad (hay muchas otras cosas que vale la pena verificar en los registros), los registros solo mostrarán de manera confiable dónde está la seguridad funcionando (- === -) como se esperaba. Si alguien ha pasado por alto las medidas de seguridad, entonces probablemente no será detectado por los registros/los registros pueden estar comprometidos, por lo que son de uso limitado.

Además, si puede construir un mecanismo para analizar los registros en busca de posibles infracciones, entonces, en la mayoría de los casos, es tan fácil hacer cumplir la política en lugar de esperar a que ocurra una infracción.

El análisis de registros no sustituye a un verificador de integridad de archivos basado en el host (como Lids, tripwire)

Habiendo dicho eso, recomendaría usar fail2ban cuando sea apropiado.

1
symcbean

Además, el análisis de registros debe tener en cuenta la rutina de gestión de cambios de la organización, o más específicamente el proceso de actualización de software/hardware, al menos en el sentido de si la integridad del archivo ha cambiado.

0
munchkin