Einrichten einer Security Information Management System-Teil 6

20. August 2009 von Chris Leave a reply »

Bisher in dieser Reihe haben wir abgedeckt:

  • Definieren von Umfang und Schwerpunkte für Ihre SIM-
  • Die Bedeutung der Gebäude statt kaufen Ihr erstes System
  • Architektur-und Kapazitätsplanung
  • Empfohlene Phasen der Implementierung
  • Auswahl eines zentralen Logging-Server-Plattform
  • Wie zu akzeptieren Remote-Log-Einträge
  • Facility, Schweregrad und Priorität
  • Wie zu sortieren Log-Meldungen
  • Konfigurieren Geräten und Betriebssystemen, um Log-Einträge einreichen

Cool. So haben wir Log-Einträge für eine Reihe von Systemen auf einem zentralen Server gesammelt. Jetzt kommt die wichtigste Aufgabe, die Nutzung dieser Informationen. Log-Einträge werden in zwei Kategorien eingeteilt werden; kritische Meldungen wollen wir über sofort wissen, und Log-Einträge, die als Teil einer regelmäßigen Überprüfung zu verfangen.

Blacklisting Vs. Whitelisting

Bei der Überprüfung der Log-Meldungen, haben wir zwei mögliche Haltungen wir nutzen können. Die erste ist, wie Blacklisting bezeichnet. Mit dem Blacklisting Methode, die wir definieren, was ein Ereignis interessant genug, um die Berichterstattung zu rechtfertigen. Dies ist ähnlich wie Antiviren-Software Malware oder der Prozess, den wir verwenden, um Spam auszufiltern erkennt.

Wie die meisten Dinge im Leben, hat schwarze Liste einige gute und schlechte Aspekte. Auf der positiven Seite, ist es meist recht einfach, um eine Signatur schreiben, wenn wir wissen, was wir suchen wollen. Signaturen können fest definiert werden, die zur Minimierung der Anzahl der Fehlalarme wir begegnen. Das Problem mit Blacklisting ist, dass wir wissen, was wir suchen müssen. Wenn ein neuer Angriff erzeugt eine einzigartige Signatur wir in der Vergangenheit nie begegnet sind, wird ein Blacklisting-System wahrscheinlich versäumen das Ereignis, weil keine Unterschrift definiert wurde.

Mit Whitelists definieren wir die Ereignisse, die wir verstehen, und dann unsere Aufmerksamkeit auf die neuen und einzigartigen Log-Nachrichten, die angetroffen werden. Auf der positiven Seite sind wir viel eher zu fangen Schneide-Attacken. Whitelisting tendenziell relativ laut aber da wir verpflichtet sind, einzigartige Log-Nachrichten, die nicht ein Hinweis auf eine Security Event zu begegnen.

Also, was sollen wir verwenden? Gute Verteidigung eingehende Praktiken erzählen uns beide verwenden. ;)

Echtzeit-Alarmierung

Wir nutzen können, Blacklisting, um Echtzeit-Alarmierung der Veranstaltung wollen wir aufmerksam gemacht, sobald sie auftreten durchzuführen. Blacklisting sollte nur für lärmarme Arten von Veranstaltungen genutzt werden. Mit anderen Worten, wir wollen mit dem Schreiben von Signaturen für Ereignisse, die eine hohe Wahrscheinlichkeit, dass eine echte Sicherheitslücke haben stick. Gute Beispiele hierfür sind:

  • Verschiedene Anmeldenamen Ausfälle alle aus der gleichen IP-Adresse in kürzester Zeit
  • Mehrere HTTP 403-Fehler von einem einzigen IP in kurzer Zeit erzeugt
  • Interne Systeme erhalten viele ICMP Fehler oder TCP setzt in kürzester Zeit

Um Echtzeit-Alarmierung durchführen, brauchen wir Software, die die Protokolle in Echtzeit überwacht. Die Log-Einträge sollten gegen definierte Signaturen, die auch zeigen, was zu tun ist, wenn das Ereignis eintritt überprüft werden.

Swatch

Eine der einfachsten Werkzeuge, die Sie für die Überwachung der Log-Einträge verwenden können, ist Swatch . Swatch ist auf Perl basiert. Dies bedeutet, dass, während es für UNIX-und Linux-Systeme konzipiert ist, können Sie es unter Windows, wenn Sie Perl installiert haben. Einfachheit ist sowohl Swatch größte Stärke und Schwäche. Während Swatch ist relativ einfach zu implementieren, ist es auch etwas in ihrer Funktionalität beschränkt. Dennoch, wenn Sie neu anmelden, macht Swatch ein ausgezeichnetes erstes Werkzeug für die Echtzeit-Warnmeldungen.

Zur Bereitstellung von Swatch, müssen Sie eine eindeutige Konfigurationsdatei für jeden Log-Datei, die Sie überwachen möchten erstellen. In der Konfigurationsdatei werden wir sagen, Swatch, worauf Sie bei diesem speziellen Log-Datei zu suchen und was zu tun ist, wenn das Ereignis erkannt wird.

Zum Beispiel, sagen wir, wir gehen zu müssen Swatch-Monitor des Webservers Fehlerprotokoll. Vielleicht möchten wir einen Eintrag ähnlich dem folgenden in Swatch-Konfiguration für das Fehlerprotokoll zu erstellen:

# Achten Sie auf Buffer Overflows

Der Dateiname ist zu lang / | watchfor / Client-Server-Konfiguration verweigert

mail = noc@fubar.org: webmaster@fubar.org, subject = Web-Server Überlauf Versuch

Die Zeile, die mit einem "#" ist einfach Kommentar zur Signatur. Die watchfor Zeile identifiziert die Zeichenkette (n) wir als interessant definieren möchten. In diesem speziellen Regel haben wir zwei verschiedene Saiten, "Client-Server-Konfiguration verweigert" und "Dateiname ist zu lang", wie interessant definiert. Das Pipe-Zeichen zwischen den Saiten wirkt wie eine logische "oder". Falls eine Zeichenfolge gefunden wird, legt die E-Mail-Parameter zwei verschiedene E-Mail-Adressen sollten wir Kontakt. Die Betreffzeile der E-Mail wird "Web-Server Überlauf Versuch", während der Körper der E-Mail die tatsächliche Protokolleintrag werden.

Wenn es andere Muster, die wir wünschen zu erkennen sind, konnten wir zusätzliche watchfor und E-Mail-Anweisungen. Wenn wir mehr als eine E-Mail tun wollen, können die exec-Parameter verwendet werden, um jede Anwendung auf dem lokalen System auszuführen. Der Schwellenwert-Parameter kann auch verwendet werden, um Rate-Begrenzung der Berichterstattung über die Ereignisse sein.

Einfache Event Coordinator (SEC)

SEC ist eine erstaunliche Alarmierung Werkzeug, das Sie aus dem Download können Haupt-Website . Es unterstützt BSD und Linux, und Schiffe mit einer Reihe von populären Linux-Varianten. SEC unterstützt reguläre Ausdrücke und ermöglicht es Ihnen, sehr granularen Signaturen zu erstellen.

Die Regel-Format ist wie folgt:

type = Methode der Erfassung

ptype = Pattern-Typ (regular expression, string match)

pattern = Was für die Suche

desc = Beschreibung (kann eine Variable sein)

action = Was tun, wenn nachgewiesen

Es ist ein ausgezeichnetes Archiv der pre-geschriebenen Regeln Sie, dass ist gut lohnt ein Blick auf kann. Sie können auf mehreren Mustern übereinstimmen, definieren mehrere Schwellenwerte, die alle während der Verarbeitung Hunderte von Log-Meldungen pro Sekunde. Über der einzige Nachteil der SEC ist, dass Sie ein Bedürfnis gutes Verständnis für reguläre Ausdrücke , um das Werkzeug effektiv zu nutzen. Dennoch kann das Tool weitaus leistungsfähiger und flexibler als Swatch.

Wo bekomme ich weitere Alarmierung Ideen?

Ich war mit der Schaffung des Originals beteiligt SANS Top 5 Protokollberichten . Für den April 2009 Log-Gipfel I aktualisiert meiner Präsentation zu brechen Report-Beispielen in geringem Rauschen und hoher Lärm Kategorien. Alles, was auf die geringe Geräuschentwicklung Liste wäre ein guter Kandidat für die Alarmierung. Alles, was in den hohen Geräuschpegel Abschnitt ist besser durch tägliche Berichte überwacht.

Tägliche Reports

Also haben wir leveraged Blacklisting zu generieren unsere Echtzeit-Benachrichtigungen. Wir werden jetzt nutzen Whitelisting zu markieren unbekannten, aber interessanten Traffic-Muster in unserem täglichen Berichte helfen.

Wenn es um die täglichen Berichte geht, neigen wir dazu, in Richtung der großen Zahlen tendieren. Was sind die Top 5 IPs der Übertragung von Daten? Welche E-Mail-Adresse geschickt die meisten Nachrichten? Während die großen Zahlen sind sicherlich wichtig, hat es meine Erfahrung, dass die Security-Events, was Sie über die Sorgen der am wenigsten Log-Einträge zu erzeugen wurde. Der smart Angreifer versuchen sehr hart zu bleiben verborgen in den Lärm. Die einzige Möglichkeit, sie zu finden ist, um das Signal-Rausch-Verhältnis zu senken.

Ich Verfasser der Perimeter Security Track für SANS. Eines der Labore Ich habe meinen Schülern durchführen wird, um ein 200.000 line Log-Datei analysieren. Das Ziel ist es, die interessante Muster vor Ort als auch formulieren die Überprüfung in einem automatisierten Prozess. Die meisten Leute finden die Port-Scanner, wie es ziemlich laut ist. Einige haben sogar vor Ort die IP-Adresse durchführen Application Layer Angriffe gegen die Web-Server. Was die meisten Menschen jedoch vermisse, sind die sechs Linien, die ein ziemlich deutliches Zeichen, dass ein internes System bereits kompromittiert ist und nach Hause telefonieren für Marschbefehl sind. Wie finden Sie die 6 Zeilen? Durch Whitelisting alles, was Sie verstehen und sich auf was auch immer übrig ist.

So ist es OK für unsere täglichen Berichte geben uns recht Charts mit großen Zahlen. Einer der Berichte hat jedoch in der Lage sein, alle crud zur Seite ziehen, damit wir besser können die interessanten Stellen prasselt.

Logwatch

Eines der besten Tools dafür ein tägliches Protokoll Kritik ist Logwatch . Logwatch wird eine Zusammenfassung aller der Log-Muster versteht es, besonders hervorzuheben nichts ohne eine vordefinierte Signatur. Der beste Weg, um diese Funktion zu verstehen ist, ein Beispiel an.

SSHD Killed: 2 Time (s)

SSHD gestartet: 1 Time (s)

Anschlüsse:

Failed Logins von diesen:

msmith / Passwort aus 1.3.247.11: 6 Mal (s)

jsmith / Passwort 1.3.247.11: 5 mal (s)

Psmith / Passwort aus 1.3.247.11: 4 Mal (s)

Benutzer Anmeldung über sshd:

jjones eingeloggt vom Sonnenuntergang (1.3.247.9) mit publickey: 146 Mal (e)

1 Times (s): jsmith in von dialup5533.wnskvtao.sover.net (216.114.181.200) mit Passwort eingeloggt

1 Times (s): jsmith in von dialup984.wnskvtao.sover.net (216.114.163.223) mit Passwort eingeloggt

bjones eingeloggt aus Charlie (1.3.247.11) mit publickey: 444 Times (s)

2 Times (s): jsmith in von 192.168.1.173 mit Passwort eingeloggt

djones eingeloggt aus Charlie (1.3.247.11) using password: 47 Mal (s)

** Einzigartige Einträge **

Empfangen von 148.64.147.168 trennen: 3: Key Austausch gescheitert.

Received trennen 216.114.160.132: 11: Alle offenen Kanäle geschlossen

gescannt von 146.87.114.150 mit SSH-1.0-SSH_Version_Mapper. Keine Panik.

gescannt von 211.184.226.99 mit SSH-1.0-SSH_Version_Mapper. Keine Panik.

Im obigen Beispiel Logwatch verwendet wird, um SSH-Aktivität zusammenfassen. Er versteht den Dienst gestoppt und gestartet, fehlgeschlagene Anmeldeversuche sowie erfolgreiche Anmeldungen. All diese Informationen werden in zusammengefasster Form angezeigt so dass es leichter zu verdauen ist. Zum Beispiel wissen wir nicht genau, wann msmith falsch eingegeben sein Passwort, aber wir sehen es passiert sechsmal, die alle aus IP-Adresse 1.3.247.11. Anstatt also mit sechs Zeilen zu verdauen, brauchen wir nur auf einen Blick. Wenn wir auf jede einzelne Log-Eintrag sehen möchten, können wir immer wieder auf den ursprünglichen Protokolle.

Jetzt auf dem "Beispiellose Entries" Abschnitt zu suchen. Jeder dieser Bereiche ist ein Ereignis, das Logwatch hat bisher keine Signatur für. Anstatt zu ignorieren, was mit einer Blacklist System passieren, werden sie hier für uns Beitrag zu zusammengefasst. Wir haben dann die Möglichkeit, eine Unterschrift für einen bestimmten Eintrag zu erzeugen, so wird es in ähnlicher Weise auf den Prozess und die Anmeldung Abschnitte eingeteilt bekommen.

Klar das gibt uns das Beste aus beiden Welten. Der obige Bericht ist ein bisschen mehr als 650 Linien im Wert von Log-Einträge, fasste nach unten in eine leicht zu Bericht zu lesen. Am wichtigsten ist, hatte keiner der Log-Einträge zu ignorieren, um diesen zusammenfassenden Bericht zu erzeugen.

Neben täglichen Berichterstattung

Sie können auch finden es sinnvoll, langfristige Trendanalysen und Data Mining auf Ihre Log-Daten durchzuführen. Dies kann helfen, Muster zu, die normalerweise unentdeckt bleiben, wenn Protokolle für eine kleine Momentaufnahme (wie 24 Stunden) wird überprüft offenbaren. Wohl eine der besten Tools für den Umgang mit vielen Daten wird Splunk .

Splunk

Splunk ist als kostenlose Version, die auf die Verarbeitung 500 MB pro Tag begrenzt ist, oder Sie können in der kommerziellen Version, die unbegrenzte Datenverarbeitung unterstützt investieren. Splunk ist äußerst flexibel bei der Annahme von Daten. Es kann als ein zentrales Logging-Server fungieren, oder Sie können Dateien über eine Reihe von Methoden wie FTP und HTTP übertragen. Sobald die Daten empfangen werden, jedes Feld Splunk Indizes in jedem log-Datei. Dies gibt Ihnen beispiellose Sortier-und Suchmöglichkeiten.

Die kompletten Merkmale sind Splunk sind zu zahlreich, um in diesem post zu bekommen. Überprüfen Sie ihre Website für eine vollständige Liste der unterstützten Features. Was Splunk ist extrem gut manipuliert und die Berichterstattung über eine Vielzahl von Log-Einträgen. Es kann Index, Suche und Bericht über Milliarden von Log-Einträgen pro Sekunde. Dies macht es extrem nützlich zur Erzeugung von Langzeit-Trend-Reports oder Laufen gespeicherten Suchen für Data Mining.

Exec Zusammenfassung

Wir werden wir das Ende der Strecke erreicht. Hoffentlich fühlen Sie sich wie Sie besser in den Griff, wie man ein zentrales Logging-Lösung, und wie zu nutzen, es besser zu sichern Ihre Umgebung bereitstellen müssen. Wenn Sie Fragen haben, zögern Sie nicht, um einen Kommentar fallen. :)

Related posts:

  1. Einrichten einer Security Information Management (SIM)-System - Teil 1
  2. Einrichten einer Security Information Management System-Part3
  3. Einrichten einer Security Information Management System-Part4
  4. Einrichten einer Security Information Management System-Part5
  5. Einrichten einer Security Information Management System-Part2

Posted in 3-err , Logging

Tags:

Sie können alle Antworten zu diesem Eintrag durch den folgen RSS 2.0 Feed . Sie können eine Antwort hinterlassen , oder trackback von deiner eigenen Seite.

Anzeige

Hinterlasse eine Antwort