Quali sono gli eventi / incidenti di sicurezza più rilevanti che un'azienda dovrebbe monitorare utilizzando gli strumenti di gestione degli eventi? Relativo a server, antivirus, reti, ecc.
Quali sono gli eventi / incidenti di sicurezza più rilevanti che un'azienda dovrebbe monitorare utilizzando gli strumenti di gestione degli eventi? Relativo a server, antivirus, reti, ecc.
Devi registrare tutto e analizzare qualsiasi cosa. Le persone cercano di bru- ciare i tuoi siti e server. Tutti questi sono incidenti rilevanti in quanto rappresentano una minaccia.
Non è rilevante dire a che cosa è un incidente, poiché ogni tentativo potrebbe essere un evento rilevante qualche volta. Ciò che è importante è catalogarli con livelli diversi. Alcune minacce rappresentano un pericolo maggiore di altre. Alcuni di essi potrebbero contenere un sacco di "comportamenti normali". Il fatto è che alcune cose diventano rilevanti solo dopo averle analizzate per un periodo di tempo più lungo. Potresti notare che un attaccante sta facendo del suo meglio per entrare. Potresti ottenere un server compromesso e quindi dovresti essere in grado di tornare indietro e cercare gli eventi relativi alla sicurezza per imparare dall'incidente.
Dipende dalla fonte dei log! Se l'origine dei registri è Windows, cerca gli errori di accesso all'account, la reimpostazione della password o il tentativo di modifica, la cancellazione o la creazione di un nuovo account, il conflitto nei nomi degli host. Puoi visitare ultimatewindowssecurity dove puoi trovare gli eventi critici da cercare.
Nei registri del firewall è possibile controllare la scansione delle porte (un ip host che visita più di 100 porte di destinazione in breve tempo), accessi FTP su SAP, attività malware.
Verifica il consumo di larghezza di banda elevata con qualsiasi applicazione o processo.
Nei registri proxy, controlla SQL Injection, Data temping, Query di ricerca ecc.
Casi di utilizzo:
Avvisa se vengono tentati 5 tentativi di accesso non riusciti con diversi nomi utente dallo stesso IP alla stessa macchina in 15 minuti e, successivamente, se si verifica un accesso riuscito dallo stesso IP a qualsiasi computer.
Avvisa se una scansione dell'host viene eseguita da un IP e quindi se una connessione riuscita viene stabilita dallo stesso IP e quindi viene stabilita una connessione a ritroso dall'IP connesso all'IP di connessione.
Leggi altre domande sui tag incident-response soc