analisi dei tentativi di accesso non riusciti

3

Esiste un progetto open source che registra tutti i tentativi di accesso falliti per un periodo di tempo e mi dà l'analisi dello stesso, l'errore di accesso è a Windows o Unix o Mac autenticazione utente su schermate rdp, telnet o login o in qualsiasi altra forma

    
posta sashank 29.05.2012 - 06:29
fonte

3 risposte

4

Se vuoi fare analisi di log in generale, puoi usare Splunk o qualcosa di simile e presentare solo tutti i log. Devi solo creare una query per i tuoi file diversi (suggerisco di inserirli in un solo indice). Dopodiché puoi semplicemente creare un timegraph e dei piecharts per vedere quando, dove e quante persone hanno provato ad accedere. Non è tuttavia opensource. Solo alcune parti sono opensource e non è economico se si hanno più di 500 MB di log al giorno. Esiste un'alternativa completa open source chiamata logstash .

    
risposta data 29.05.2012 - 08:33
fonte
1

Splunk è ottimo per scavare nei registri ma uno dei migliori strumenti disponibili per l'analisi approfondita è Strumento Log Parser di Microsoft . In pratica consente di eseguire query SQL su molti formati di dati di registro. È ottimo per le query ad hoc, ma è facile copiarlo per generare grafici e report ben formattati.

La cosa principale di Log Parser è che con un po 'di creatività puoi inventare cose interessanti. Ad esempio:

  1. Mostra tutti gli utenti che hanno avuto accessi non riusciti su più di un computer sulla rete entro un periodo di un'ora.
  2. Elenca gli utenti con i tentativi di accesso più falliti
  3. Elenca i nomi utente e gli indirizzi IP per tutti gli utenti che hanno effettuato l'accesso a un server specifico
  4. Mostra tutti gli utenti che hanno effettuato l'accesso in orari insoliti o in luoghi insoliti

So anche che probabilmente non dovrei promuovere la mia roba, ma raccomando davvero il libro "Log Parser Toolkit" che ho pubblicato che ha capitoli scritti da un certo numero di esperti del settore (incluso l'autore di Log Parser) che è un ottimo riferimento per questa roba. La mia copia è molto usurata e continuo a usarla costantemente.

    
risposta data 31.05.2012 - 00:29
fonte
-1

Splunk è l'opzione migliore per qualsiasi analisi relativa alla sicurezza basata sui log. Ottenere falliti tentativi di accesso in modo molto categorizzato e produttivo in splunk è solo un colpo di query.

In base al tipo di sorgente puoi gestire tra diversi tipi di fonti e persino gestire il periodo di tempo del log che desideri esaminare. Fornisce anche molte buone statistiche grafiche che possono essere facilmente spiegate alla gestione del noleggio in questione.

Devi solo esercitare pressione sulla correlazione per ottenere un risultato potenziale.

    
risposta data 01.11.2015 - 01:48
fonte

Leggi altre domande sui tag