Recensione del registro del server di sicurezza [chiusa]

Naviga le tue risposte
1

Abbiamo un server Kiwi Syslog per scopi di registrazione centralizzata.
Attualmente, ci concentriamo solo sul monitoraggio, la revisione e la segnalazione delle violazioni dell'account utente / password.

Abbiamo già utilizzato i filtri necessari in base all'ID evento in questo link: link .

Ora, la nostra domanda è che stiamo già ricevendo gli avvisi. In che modo identifichiamo gli avvisi come l'ID evento Windows 4625: "Un account non è riuscito ad accedere" è correlato a un attacco / violazione di sicurezza o se si tratta solo di falsi allarmi?

    
posta Boy 02.07.2015 - 17:04
fonte

1 risposta

0

Se è davvero necessario distinguere tra veri e propri incidenti di sicurezza e falsi positivi, è possibile costruire una soluzione che implementa gli algoritmi di classificazione Bayes e formarli correttamente. Tale classificatore dovrebbe analizzare quanti più dati di input possibile e "segnare" determinati eventi, comportamenti ecc. In punti positivi e negativi. Ad esempio:.

  • Errore di autenticazione della prima password in un determinato intervallo di tempo - > 20

  • un altro errore di autenticazione della password nello stesso intervallo di tempo - > 20

  • errore di autenticazione della password per utente diverso - > 40

  • autenticazione password riuscita in 2 minuti dal primo tentativo fallito - > -50

  • autenticazione password riuscita per utente diverso - > 35

Quindi puoi definire le soglie, es. oltre 70 punti provocheranno avvisi via email ecc.

    
risposta data 03.07.2015 - 01:49
fonte

Leggi altre domande sui tag

Protezione CSRF con intestazioni personalizzate (e senza token di convalida) Come spiegare l'attacco BEAST alle persone non tecnologiche