Monitoraggio degli eventi per una rete domestica

5

Mi piacerebbe utilizzare alcuni dei prodotti di tipo SIEM gratuiti là fuori per aumentare le possibilità che rileverò attacchi e compromessi di qualsiasi dispositivo sulla mia rete domestica. La maggior parte dei miei dispositivi domestici esegue Linux. Mi interessano solo le soluzioni che sono possibili senza un grande investimento di sforzo (non più di ~ 5 ore di tempo di configurazione, ad esempio, e alimentazione e irrigazione manuali minime).

Ho le solite risorse della rete domestica che vorrei proteggere: integrità e disponibilità delle risorse di elaborazione compresa la larghezza di banda (sarebbe bene notare che facevo parte di una botnet); riservatezza delle credenziali dell'account online; disponibilità di supporti archiviati, ecc.

Alcune ricerche su questo sito e Google ha suggerito che Snort + Snorby potrebbe essere un'opzione; Ho anche una certa esperienza nell'uso di Splunk che è gratuito per un massimo di 500 MB di log al giorno e può essere associato a un numero qualsiasi di altri prodotti (sono un po 'fan di Splunk, anche se non l'ho usato per motivi di sicurezza).

È fattibile, oppure tutti gli strumenti SIEM sono progettati per essere eseguiti da professionisti delle operazioni di sicurezza a tempo pieno? Se è fattibile, cosa posso configurare Snort + Snorby per rilevare / quali app o pubblicamente configurazioni e ricerche disponibili dovrei usare con Splunk?

Quale di queste due opzioni è più probabile che soddisfi i miei obiettivi di basso livello di installazione e di manutenzione, pur rimanendo utile?

Sono particolarmente interessato alle esperienze di chiunque * che abbia una tale impostazione, ma le opinioni basate sull'esperienza professionale che utilizzano questi strumenti sono anche più che benvenute.

* se hai una configurazione in esecuzione a casa e sei anche una persona dei segreti che fa questo per vivere, per favore menziona questo fatto:)

    
posta Michael 10.07.2013 - 23:10
fonte

2 risposte

3

La cipolla di sicurezza suona come la soluzione migliore. Si installerà e IDS abbastanza velocemente. Tieni sotto controllo il traffico dentro e fuori la tua rete e installa OSSEC sui tuoi clienti a casa tua e indirizzali verso la sicurezza. Questo sito ha tutte le informazioni di cui hai bisogno su howto. link

    
risposta data 10.07.2013 - 23:35
fonte
2

securityonion sarebbe il mio preferito anche per questo compito, ma:

Is this viable, or are all SIEM tools designed to be ran by full time security operations professionals?

dovresti avere qualche idea su che tipo di attacchi stiano accadendo e sul perché alcuni avvisi stiano attivando le regole. snort / suricata sono id basati sulla rete, filtrano e analizzano il tuo traffico e sono in grado di produrre postivi falsi, se non si adattano correttamente i propri id.

non esiste una soluzione per l'installazione e la manutenzione.

If it is viable, what can I configure Snort+Snorby to detect

tutto ciò che rientra in un paket di rete:)

puoi usarlo per rilevare gli attacchi - > in, ma anche contenuti dannosi in > su, se usi le ultime minacce-emergenti-regole *) ti chiederai quali sono i problemi che si sono bloccati sul tuo nic-nic con connessione internet 24/7, cercando di intrufolarti

what apps or publicly available configs and searches should I use with Splunk?

snort è un log-store / indice centrale con le ricerche a forma libera

Which of these two options is most likely to meet my goals of low setup and maintenance effort whilst still actually being useful?

dovrai "imparare" tutti gli strumenti che utilizzerai in tale configurazione, perché devi analizzare i tuoi eventi, ordinare i falsi positivi e ottimizzare la configurazione. questa messa a punto è ciò che richiede più tempo. e devi sintonizzarti.

I'm particularly interested in experiences from anyone* who has such a setup, but opinions based on professional experience using these tools are also more than welcome.

questi strumenti sono perfetti per una situazione del genere, ma il prezzo è: mangerà un po 'del tuo tempo

*) tristemente, negli ultimi anni è diventato molto anti-virus-centrico, perdendo un po 'di eccellenza, imho

    
risposta data 11.07.2013 - 09:45
fonte

Leggi altre domande sui tag