Quali sono gli eventi / eventi di sicurezza più rilevanti che un'azienda dovrebbe monitorare? [chiuso]

1

Quali sono gli eventi / incidenti di sicurezza più rilevanti che un'azienda dovrebbe monitorare utilizzando gli strumenti di gestione degli eventi? Relativo a server, antivirus, reti, ecc.

    
posta Luis Mtz Bacha 07.03.2012 - 19:00
fonte

2 risposte

2

Devi registrare tutto e analizzare qualsiasi cosa. Le persone cercano di bru- ciare i tuoi siti e server. Tutti questi sono incidenti rilevanti in quanto rappresentano una minaccia.

Non è rilevante dire a che cosa è un incidente, poiché ogni tentativo potrebbe essere un evento rilevante qualche volta. Ciò che è importante è catalogarli con livelli diversi. Alcune minacce rappresentano un pericolo maggiore di altre. Alcuni di essi potrebbero contenere un sacco di "comportamenti normali". Il fatto è che alcune cose diventano rilevanti solo dopo averle analizzate per un periodo di tempo più lungo. Potresti notare che un attaccante sta facendo del suo meglio per entrare. Potresti ottenere un server compromesso e quindi dovresti essere in grado di tornare indietro e cercare gli eventi relativi alla sicurezza per imparare dall'incidente.

    
risposta data 07.03.2012 - 20:48
fonte
1

Dipende dalla fonte dei log! Se l'origine dei registri è Windows, cerca gli errori di accesso all'account, la reimpostazione della password o il tentativo di modifica, la cancellazione o la creazione di un nuovo account, il conflitto nei nomi degli host. Puoi visitare ultimatewindowssecurity dove puoi trovare gli eventi critici da cercare.

Nei registri del firewall è possibile controllare la scansione delle porte (un ip host che visita più di 100 porte di destinazione in breve tempo), accessi FTP su SAP, attività malware.

Verifica il consumo di larghezza di banda elevata con qualsiasi applicazione o processo.

Nei registri proxy, controlla SQL Injection, Data temping, Query di ricerca ecc.

Casi di utilizzo:

  1. Avvisa se vengono tentati 5 tentativi di accesso non riusciti con diversi nomi utente dallo stesso IP alla stessa macchina in 15 minuti e, successivamente, se si verifica un accesso riuscito dallo stesso IP a qualsiasi computer.

  2. Avvisa se una scansione dell'host viene eseguita da un IP e quindi se una connessione riuscita viene stabilita dallo stesso IP e quindi viene stabilita una connessione a ritroso dall'IP connesso all'IP di connessione.

  3. Avvisa se vengono stabilite più di 100 connessioni dai diversi IP esterni allo stesso IP di destinazione in un minuto.
  4. Avvisa se 100 connessioni sono stabilite dallo stesso IP esterno attraverso diverse porte allo stesso IP di destinazione in un minuto.
  5. Avvisa se lo stesso utente tenta più di tre tentativi di accesso non riusciti alla stessa macchina in un'ora.
  6. Avvisa se un utente non può accedere a nessun server e ha causato l'autenticazione fallita e in due ore se quell'utente non può accedere allo stesso server.
  7. Avvisa uno se più di 100 pacchetti sono bloccati da UTM / FireWall dallo stesso IP sorgente e non avvisano entro un'ora. (In caso di attacco DDOS vengono bloccati milioni di pacchetti. Se viene inviata una e-mail per ciascuno, ti viene esposto un attacco DDOS.)
  8. Segnala l'IP sorgente che causa UnusualUDPTraffic.
  9. Avvisa se si verifica un traffico verso un'origine o da un'origine nell'elenco di IPReputation.
  10. Avvisa se il traffico di rete si verifica dalla sorgente o da una fonte nell'elenco dei link malevoli pubblicato da TRCERT - Turkey - Computer Emergency Response Team
  11. Se qualcuno configura un server DHCP nella rete o se trasmette un altro gateway, per scoprire questo: Avverti se si verifica un traffico dall'interno all'esterno o dall'esterno verso l'interno il cui protocollo è UDP, la porta di destinazione è 67 e la destinazione L'IP non è nell'elenco IP registrato.
  12. Avvisa se si verifica una scansione IP.
  13. Avvisa se l'attacco SQL avviene tramite web server.
  14. Avvisa se i server sono accessibili fuori orario.
  15. Avvisa se lo stesso utente tenta più di tre tentativi di accesso non riusciti a diversi computer in un minuto.
  16. Avverti se un attacco è seguito da un cambio di account
  17. Avverti se la scansione è seguita da un attacco
  18. Rileva una condizione insolita in cui un'origine ha errori di autenticazione in un host ma non viene seguita da un'autenticazione riuscita nello stesso host entro 2 ore
  19. Cerca che venga creato un nuovo account seguito dall'attività di autenticazione immediata dello stesso account che rilevi la creazione di un account backdoor seguito dall'account utilizzato per telnet di nuovo nel sistema
  20. Monitora la stessa fonte con errori di accesso eccessivo in host distinti,
  21. Controlla se la fonte di un attacco era in precedenza la destinazione di un attacco (entro 15 minuti)
  22. Verifica se ci sono 5 eventi da firewall host con livello di gravità 4 o superiore in 10 minuti tra lo stesso IP di origine e di destinazione
  23. Cerca la creazione di un nuovo account, seguito a breve dall'attività di accesso / autenticazione fallita dallo stesso account
  24. Controlla l'accesso al sistema al di fuori degli orari di ufficio
risposta data 22.12.2015 - 16:19
fonte

Leggi altre domande sui tag