Vorrei implementare OSSEC come HIDS sul mio server, ma per impostazione predefinita OSSIC monitora un certo numero di cartelle. Ho intenzione di distribuire un'applicazione web sul mio server. Quindi quale dovrebbe essere la mia configurazione OSSEC predefinita per la sicurezza delle applicazioni Web ovvero le cartelle, i registri per monitorare il rilevamento delle intrusioni?
Potresti voler includere le cartelle che contengono la tua applicazione. Se un utente malintenzionato è in grado di sfruttare il server, è probabile che scriverà un file sulla tua web root.
Per il rilevamento delle intrusioni, dovrai assolutamente monitorare i tuoi file access.log e error.log per questa applicazione web. Vorrei cercare:
Traffico insolitamente alto. Scopri che quantità di traffico normale si basa sul tuo access.log e imposta un monitor per avvisarti se ottieni improvvisamente una quantità molto maggiore (ad es. 10 volte più richieste) che potrebbe indicare un attacco DoS o un sondaggio del server.
Una grande quantità di richieste POST. Questo di solito indica un attacco di SQL injection.
Molte righe nel file error.log. Ancora una volta questo probabilmente indica il probing del server (o qualcosa di mal configurato).
Gli altri non esitano ad aggiungere / modificare.
Leggi altre domande sui tag web-application ids intrusion