Registros que vale a pena manter e analisar em um repositório central

Navegue suas respostas
4

Na necessidade de centralizar os logs, selecionamos o syslog como coletor e o Splunk (gratuito por enquanto) como a ferramenta de análise, mas há sempre a pergunta sobre quais eventos devem chegar ao repositório central e de quais sistemas.

A seleção deve abordar apenas os registros de interesse do ponto de vista da segurança.

Quais logs você centraliza e como você os seleciona?

As respostas devem indicar tipos de dispositivos, sistemas ou software, tipos de registros / eventos e o motivo para escolhê-los.

    
por chmeee 17.06.2009 / 19:14

5 respostas

3

Windows:

  1. Log de segurança (especificamente procurando por falhas de auditoria)
  2. Log do sistema (para correlacionar com o log de segurança)
  3. Logs do IIS
  4. Qualquer registro de aplicativos para aplicativos voltados para a rede.

No Linux:

  1. /var/log/auth.log (logins)
  2. /var/log/errors.log (para ... erros)
  3. Logs SSH
  4. Logs de aplicativos

Geralmente você quer monitorar:

  1. Logins
  2. Erros do sistema
  3. Logs de aplicativos

Estes serão os registros mais importantes a serem monitorados e os mais reveladores usando o splunk.

Um sistema de registro é tão bom quanto a fonte de tempo. Usando o NTP e certificando-se de que todos os seus servidores estejam configurados para o mesmo fuso horário, seu trabalho será dez vezes mais fácil. Eu gosto de definir meus relógios BIOS para UTC e, em seguida, defina o sistema operacional para o fuso horário local.

EDIT: Este é agora um wiki. Adicione seu próprio conselho!

    
por 17.06.2009 / 20:23
2

Todos os registros são de interesse para fins de segurança. Pelo menos eles estão em uma caixa unix / lnx.

    
por 18.06.2009 / 18:44
2

No Linux, você também pode enviar tudo do syslog para o coletor central e analisar padrões. Você nunca sabe o que vai precisar com antecedência e pode se deparar com alguma informação faltando se incluir apenas determinados serviços. Embora existam diretrizes gerais sobre qual instalação um tipo específico de aplicativo deve estar fazendo, não há regras rígidas e rápidas.

Se um aplicativo de interesse grava seus próprios arquivos de log, eu normalmente os inho para o daemon syslog e os encaminho para o coletor central.

Isso é útil não apenas para fins de segurança, mas também para localizar erros de configuração, bem como falhas de hardware e software.

    
por 18.06.2009 / 18:52
2

Isso realmente depende do que você está tentando detectar.

Se você estiver procurando acesso a recursos (por exemplo, arquivos da folha de pagamento, documentos do produto):

  • coletar os logs do usuário e o tempo de acesso do servidor em que o recurso está localizado
  • coletar informações de rastreamento de e-mail para que você possa ver se e para onde o recurso está indo

Se você estiver procurando por acesso externo, então:

  • vpn logs para quem e quando as pessoas fazem login
  • logs de firewall para tentativas de acesso
  • logs de ids para tráfego incomum
  • Registros de login do AD para que as tentativas de força bruta sejam encontradas
  • registros de Wi-Fi
  • logs do dhcp

Novamente, primeiro determine o que você deseja detectar e, em seguida, escolha os logs que podem mostrar a você quem e onde as informações / recursos foram acessados. Então vá para o próximo. Da experiência, se você quer apenas tudo o que você irá falhar em obter a detecção que você precisa para qualquer coisa.

    
por 18.06.2009 / 22:51
0

Esta é uma questão muito geral.

Você já deve saber quais logs precisa alimentar em splunk. Quais logs você procura manualmente ao procurar eventos de segurança? Essas são as que você precisa para se alimentar em splunk.

    
por 17.06.2009 / 19:52

Tags

Software de Inventário de Rede [fechado] Servidor Web dedicado: Versões de núcleo dual 3.0GHz Quad Core 2.4GHz