Hasta ahora, en esta serie hemos cubierto:
- La definición de un alcance y enfoque de la tarjeta SIM
- Importancia de la construcción en lugar de comprar su primer sistema de
- La arquitectura y la planificación de la capacidad
- Las fases de despliegue recomendado
- Selección de una plataforma de servidor de registro centralizado
- ¿Cómo aceptar las entradas de registro remoto
- Instalación, la gravedad y la prioridad
- Cómo ordenar los mensajes de registro
- Configuración de aplicaciones y sistemas operativos para enviar las entradas de registro
Cool. Así que tenemos las entradas del registro de una serie de sistemas que se están recogidos en un servidor centralizado. Ahora viene la tarea más importante, aprovechar esa información. Las entradas de registro se pueden agrupar en dos categorías: los mensajes críticos que queremos saber acerca de inmediato, y entradas de registro que se quedan atrapados como parte de un proceso de revisión.
Lista negra vs. Lista blanca
Al revisar los mensajes de registro, tenemos dos posturas posibles que puede utilizar. La primera se conoce como listas negras. Con el método de listas negras que definir lo que hace que un evento lo suficientemente interesante como para justificar la presentación de informes. Esto es similar a cómo el software antivirus detecta el malware o el proceso que utilizamos para filtrar el spam.
Como la mayoría de las cosas en la vida, las listas negras tiene aspectos buenos y malos. En el lado positivo, por lo general es bastante fácil de escribir una firma, si sabemos lo que queremos buscar. Las firmas pueden definirse con precisión para ayudar a minimizar el número de falsos positivos que nos encontramos. El problema con la lista negra es que tenemos que saber lo que estamos buscando. Si un nuevo ataque genera una firma única que hemos encontrado nunca en el pasado, un sistema de listas negras, probablemente se perderá el evento porque no hay ninguna firma se ha definido.
Con listas blancas que definen los eventos que entender, a continuación, centrar nuestra atención en los mensajes de registro nuevos y únicos que se encuentran. En el lado positivo que son mucho más propensos a contraer cortar los ataques del borde. Lista blanca tiende a ser relativamente ruidoso sin embargo, ya que estamos destinados a encontrar mensajes únicos de registro que no son indicativos de un evento de seguridad.
Así que debemos usar? Buena defensa en profundidad las prácticas nos dicen que debemos usar ambos. 
Alerta en tiempo real
Podemos aprovechar para realizar las listas negras en tiempo real de alerta de evento que queremos estar al tanto de cuanto ocurre. Las listas negras sólo se debe utilizar para los tipos de bajo nivel de ruido de los acontecimientos. En otras palabras, queremos seguir con la escritura de firmas para los eventos que tienen una alta probabilidad de ser un problema de seguridad real. Buenos ejemplos son:
- Diferentes fallos de inicio de sesión nombre de todos en la misma dirección IP en un corto período de tiempo
- Múltiples errores HTTP 403 que se generan por una única dirección IP en un corto período de tiempo
- Los sistemas internos que reciben muchos errores ICMP o TCP restablece en un corto período de tiempo
Para llevar a cabo en tiempo real de alertas, que necesita un software que hará un seguimiento de los registros en tiempo real. Las entradas del registro deberá cotejarse con las firmas definidas, lo cual también indica qué hacer cuando se produce el evento.
Swatch
Una de las mejores herramientas que puede utilizar para las entradas del registro de seguimiento es Swatch . Swatch se basa en Perl. Esto significa que, si bien está diseñado para sistemas UNIX y Linux, puede hacerlo funcionar en Windows si tiene instalado Perl. La simplicidad es la mayor fortaleza de los Swatch y la debilidad. Mientras que Swatch es relativamente fácil de implementar, también es algo limitada en su funcionalidad. Sin embargo, si usted es nuevo en el registro, Swatch hace una excelente herramienta para la primera alerta en tiempo real.
Para implementar Swatch, usted tendrá que crear un archivo de configuración única para cada archivo de registro que desea supervisar. En el archivo de configuración que le dirá a Swatch lo que debe buscar en el archivo de registro en particular, y qué hacer cuando se detecta el evento.
Por ejemplo, digamos que vamos a tener Swatch seguimiento de registro del servidor Web de error. Es posible que desee crear una entrada similar al siguiente en el archivo de configuración de Swatch para el registro de errores:
# Cuidado con desbordamientos de búfer
watchfor / cliente negado por la configuración del servidor | Nombre de archivo demasiado largo /
mail = noc@fubar.org: webmaster@fubar.org, subject = servidor Web desbordamiento intento
La línea que comienza con "#" es simplemente el comentario sobre la firma. La línea que identifica watchfor cadena de caracteres (s) que desea definir como interesante. En esta regla en particular se han definido dos cadenas diferentes, "cliente negado por la configuración del servidor" y "Nombre de archivo demasiado largo" lo más interesante. El carácter de barra vertical entre las cuerdas actúa como una lógica "o". Si cualquiera de cadena se encuentra, el parámetro de correo define dos diferentes direcciones de correo electrónico que deben ponerse en contacto. La línea de asunto del correo electrónico será "servidor Web intento de desbordamiento", mientras que el cuerpo del e-mail será la entrada del registro actual.
Si hay otros patrones que deseamos detectar, podríamos añadir watchfor adicionales y declaraciones de correo. Si queremos hacer algo más que enviar un e-mail, el parámetro exec puede ser utilizado para ejecutar cualquier aplicación se encuentra en el sistema local. El parámetro umbral también se puede utilizar para limitar la velocidad de la notificación de eventos.
Coordinador de eventos simples (SEC)
SEC es una increíble herramienta de alerta se puede descargar desde el sitio web principal . Es compatible con BSD y Linux, y viene con una serie de populares versiones de Linux. SEC es totalmente compatible con las expresiones regulares y le permite crear firmas muy granular.
El formato de la regla es como sigue:
= Tipo de método de detección
PTYPE = patrón tipo (expresión regular, coinciden con cadena)
= ¿Qué patrón de búsqueda de
desc = Descripción (puede ser una variable)
action = ¿Qué hacer cuando se detecta
Hay un excelente archivo de pre-escrito las reglas que usted puede utilizar que es bien vale la pena mirar. Puede hacer coincidir en varios patrones, definir umbrales múltiples, todas durante el procesamiento de cientos de mensajes de registro por segundo. Sobre el único inconveniente de la SEC es que se necesita una buena comprensión de las expresiones regulares para utilizar la herramienta de manera efectiva. Sin embargo, la herramienta puede ser mucho más potente y flexible que Swatch.
¿Dónde puedo obtener más ideas de alerta?
Yo estaba involucrado con la creación del original SANS Top 5 informes de registro . Para la edición de abril de 2009 Cumbre Entrar He actualizado mi presentación para romper ejemplos de informes en categorías de bajo ruido y alto ruido. Algo en la lista bajo nivel de ruido sería un buen candidato para la alerta. Nada en la sección de ruido es mejor seguimiento a través de los informes diarios.
Informes Diarios
Por lo tanto, las listas negras de apalancamiento para generar nuestras alertas en tiempo real. Ahora vamos a aprovechar listas blancas para ayudar a resaltar los patrones de tráfico desconocido pero interesante en nuestros informes diarios.
Cuando se trata de informes diarios, que tienden a gravitar hacia las grandes cifras. ¿Cuáles son las 5 IPs transferencia de datos? ¿Qué dirección de correo electrónico enviado más mensajes? Mientras que las grandes cifras son ciertamente importantes, que ha sido mi experiencia que los eventos de seguridad que usted necesita preocuparse acerca de la mayoría de la generación de menor cantidad de las entradas de registro. Los atacantes inteligentes un gran esfuerzo para permanecer escondido en el ruido. Así que la única forma de encontrarlos es reducir la relación señal a ruido.
I el autor del seguimiento de seguridad perimetral para redes SAN. Uno de los laboratorios que tienen mis alumnos realizar es analizar un archivo de registro de 200.000 líneas. El objetivo es detectar los patrones interesantes, así como formular la revisión en un proceso automatizado. La mayoría de la gente encontrar el escáner de puertos, ya que es bastante ruidoso. Algunos incluso detectar la dirección IP de realizar ataques de la capa de aplicación en el servidor Web. Lo que mucha gente se pierda sin embargo, son las seis líneas que son un indicio bastante claro que un sistema interno ya está en peligro y llamar a casa por órdenes de marcha. ¿Cómo encontrar las 6 líneas? Por listas blancas todo lo que usted entiende y se centra en lo que nunca se deja.
Por lo que es correcto para nuestros informes diarios para darnos bastante gráficos con números grandes. Uno de los informes sin embargo tiene que ser capaz de mover toda la porquería al lado de modo que mejor pueden detectar patrones de la interesante.
Logwatch
Una de las mejores herramientas para hacer una revisión del registro de todos los días es Logwatch . Logwatch se resumen todos los modelos de registro que comprende, además de destacar nada sin una firma predefinida. Mejor manera de entender esta función es ver un ejemplo.
SSHD Muertos: 2 Tiempo (s)
SSHD creados: 1 hora (s)
Conexiones:
Intentos fallidos de las siguientes:
msmith / contraseña de 1.3.247.11: 6 hora (s)
jsmith / contraseña de 1.3.247.11: 5 hora (s)
psmith / contraseña de 1.3.247.11: 4 hora (s)
Usuarios que se conectan a través de sshd:
jjones registrado desde la puesta del sol (1.3.247.9) con publickey: 146 veces (s)
jsmith conectado desde dialup5533.wnskvtao.sover.net (216.114.181.200) using password: 1 Times (s)
jsmith conectado desde dialup984.wnskvtao.sover.net (216.114.163.223) using password: 1 Times (s)
bjones conectado de Charlie (1.3.247.11), utilizando publickey: 444 veces (s)
jsmith conectado desde 192.168.1.173 contraseña utilizando: 2 veces (s)
djones conectado de Charlie (1.3.247.11) using password: 47 veces (s)
** Las entradas sin igual **
Recibió desconectarse de 148.64.147.168: 3: El intercambio de claves no.
Recibió desconectarse de 216.114.160.132: 11: Todos los canales abiertos cerrados
escaneada de 146.87.114.150 con SSH-1.0-SSH_Version_Mapper. No entre en pánico.
escaneada de 211.184.226.99 con SSH-1.0-SSH_Version_Mapper. No entre en pánico.
En el ejemplo anterior Logwatch se está utilizando para resumir la actividad del SSH. Se entiende el servicio que se detiene y se inicia, los intentos fallidos de inicio de sesión, así como los inicios de sesión con éxito. Toda esta información se muestra en formato de resumen por lo que es más fácil de digerir. Por ejemplo, no sabemos exactamente cuándo msmith incorrectamente la contraseña, pero vemos que sucedió en seis ocasiones, todas desde la dirección IP 1.3.247.11. Así que en lugar de tener seis líneas de digerir, sólo tenemos que mirar a uno. Si queremos ver cada entrada de registro específico, siempre se puede hacer referencia a los registros originales.
Ahora mira el "entradas sin igual" sección. Cada uno de estos es un evento que Logwatch no tiene una firma para. En lugar de ignorarlos, lo que ocurriría con un sistema basado en la lista negra, que se resumen a continuación para que podamos revisar. A continuación, tiene la opción de generar una firma para una entrada específica por lo que se clasifican de forma similar al proceso y las secciones de inicio de sesión.
Es evidente que esto nos da lo mejor de ambos mundos. El informe anterior representa un poco más de 650 líneas por valor de las entradas del registro, que se resumen abajo en un fácil leer el informe. Lo más importante, ninguna de las entradas de registro tuvo que ser ignorados con el fin de elaborar este informe resumen.
Más allá de los informes diarios
También puede resultar útil para realizar análisis a largo plazo la tendencia y la minería de datos en los datos de su registro. Esto puede ayudar a revelar los patrones que normalmente no se detectan cuando los registros de una foto pequeña en el tiempo (como 24 horas) se revisa. Posiblemente una de las mejores herramientas disponibles para hacer frente a gran cantidad de datos es Splunk .
Splunk
Splunk está disponible como una versión gratuita que se limita al procesamiento de 500 MB por día, o usted puede invertir en la versión comercial que soporta el procesamiento de datos ilimitado. Splunk es extremadamente flexible en la aceptación de los datos. Puede actuar como un servidor de registro centralizado, o usted puede transferir archivos a través de una serie de métodos como FTP y HTTP. Una vez que se reciben los datos, los índices de Splunk todos los campos en cada archivo de registro. Esto le da la capacidad sin precedentes de ordenación y búsqueda.
Todas las funciones son Splunk son demasiado numerosas para entrar en este post. Compruebe su sitio para obtener una lista completa de las funciones compatibles. ¿Qué Splunk es muy bueno es en la manipulación y elaboración de informes sobre un gran número de entradas de registro. Se pueden indexar, buscar y presentar informes sobre miles de millones de entradas de registro por segundo. Esto hace que sea muy útil para generar informes a largo plazo la tendencia o correr búsquedas guardadas para la minería de datos.
Resumen ejecutivo
Vamos que hemos llegado al final del camino. Esperamos que usted siente que tiene una mejor idea de cómo implementar una solución de registro centralizado, así como la forma de aprovechar para asegurar mejor su entorno. Si usted tiene alguna pregunta, por favor no dude en dejar un comentario. 
Puestos relacionados con:
- Configuración de una Gestión de la Información de Seguridad (SIM) del Sistema - Parte 1
- Configurar un sistema de gestión de seguridad de la información-Parte 3
- Configurar un sistema de gestión de seguridad de la información-Part4
- Configurar un sistema de gestión de seguridad de la información-Parte 5
- Configurar un sistema de gestión de seguridad de la información-Parte 2
