Ho installato OSSEC sui miei host. Voglio rilevare le scansioni delle porte e generare un avviso in OSSEC. Quindi, come posso rilevare queste scansioni delle porte?
È possibile leggere i registri di iptables? Raccomandi qualche strumento specifico come PSAD?.
Grazie.
Monitoraggio log
Potresti farlo attraverso il monitoraggio dei log e attivare alcuni avvisi. Guarda una soluzione commerciale come Splunk. Ciò consente di gestire e leggere i registri creando cruscotti, soglie e avvisi.
Ogni volta che verrai sondato, potresti far scattare un avviso tramite il monitoraggio del registro.
Presto ti troverai a creare dashboard e avvisi per tutti i tipi di cose!
Controlla anche GrayLog ed ELK (ElasticSearch, Logstash, Kibana) che credo siano open-source e gratuiti.