Rilevamento degli attacchi delle app Web analizzando i file di registro [duplicato]

1

Rispondi a questa domanda mentre le risposte sono ora di 5 anni:    Posso rilevare gli attacchi delle app Web visualizzando il mio file di registro Apache?

Il mio capo mi ha incaricato di analizzare i nostri file access.log e error.log dopo un tentativo di attacco di iniezione mySQL la scorsa settimana. È piuttosto ovvio quando si visualizzano i log a mano, ma vorremmo qualcosa di automatizzato (un servizio o un'attività che può essere eseguito regolarmente tramite cron) che rilevi i pattern di attacco.

Stiamo utilizzando nginx, ma ciò non dovrebbe avere importanza perché i registri sono in formato standard. Qualche suggerimento sui programmi che eseguono questo tipo di analisi dei log? Non mi interessa l'analisi del traffico standard che programmi come Webalyzer fanno.

Inoltre, per quelli di voi che fanno questo tipo di rilevamento e analisi degli attacchi, quali sono i pattern che state cercando nei vostri file di registro oltre a una quantità di traffico più grande del normale?

Inoltre, guardi sia il file access.log che error.log o solo uno?

    
posta Rick Chatham 11.03.2015 - 17:55
fonte

1 risposta

2

Dipende se hai intenzione di ottenere un budget o non farlo. Benvenuti nel mondo di IDS / IPS e SIEM.

Il mio strumento preferito che ho usato come stagista e che ancora utilizzo è OSSEC HIDS (sistema di rilevamento di intrusioni basato su host di sicurezza open source).

È uno strumento open source davvero dolce se hai bisogno di un piccolo cluster di host monitorati e non hai i fondi per assumere un intero team SOC o il budget per un SIEM gigante completamente supportato come FireEye o ArchSight. Puoi scrivere le tue regole (in XML) e ti consente di generare avvisi basati su tali regole. Si impostano anche i percorsi di directory che si desidera monitorare (ad esempio var / adm / log o / var / syslog, ecc.)

Per un'interfaccia utente, è possibile utilizzare l'interfaccia utente Web OSSEC e ospitarla su un server con apache. Inoltre, è necessario sapere cosa si sta cercando per scrivere le regole, ma ci sono trucchi intorno a questo. Puoi impostare le regole per cercare la parola "non riuscita" che si verifica più di 3 volte in 60 secondi per generare un avviso (solo un esempio).

Spero che ti aiuti.

    
risposta data 11.03.2015 - 21:41
fonte

Leggi altre domande sui tag