Hace poco tuve un alumno me pregunta una pregunta acerca de la integración de Logwatch con OSSEC. Me sentí como que era una idea bastante compleja y aún fresco que garantiza una serie de puestos para cubrir en su totalidad. De modo que en los próximos días voy a hablar de cada una de estas herramientas, cómo integrarlos en conjunto, así como lo que la visibilidad de seguridad adicional se puede obtener una vez que se complete el proceso.
¿Qué es Logwatch?
Logwatch es una excelente herramienta de código abierto para la generación de reportes diarios de registro legible por humanos. Las entradas de registro tienden a caer en una de tres categorías:
- Cosas que sabes que es malo
- Cosas que sabes que es normal y puede ser ignorado
- Todo lo demás
Se trata de que "todo lo demás", categoría en la que Logwatch realmente brilla. Por las cosas que sabemos que es malo, vamos a configurar algún tipo de sistema de alerta. Por ejemplo, podemos escribir una firma de alerta que advierte el analista de seguridad cuando una cuenta es que a fuerza bruta. Pero ¿qué pasa con los ataques que no conocen o no están seguros de lo que parecen? Esto sería un claro ejemplo de que "todo lo demás" categoría. El tráfico no es normal, pero no lo hemos visto antes de tener una firma a la espera de generar una alerta. Ya que no será capaz de atrapar el ataque en tiempo real, que tendrá que tomar durante una revisión del registro de todos los días.
Por supuesto, el problema de hacer revisiones diarias de registro es que es tedioso y lento. Quiero decir, seamos sinceros, que realmente quiere pasar sus días revisando millón más entradas de registro? Incluso si lo hiciera, ¿estás seguro que realmente captura el tráfico de la corriente?
¿Cómo funciona?
¿Qué Logwatch hace muy bien es permitirle a reorganizar sus datos en un formato que es más fácil para los seres humanos a seguir. Su verdadera fuerza es que le permite mover las cosas que entiendo de la forma (normal o para mal), de modo que las entradas del registro inesperado se destacan como un pulgar dolorido. En otras palabras, Logwatch le permite resumir las entradas de registro para que el material extraño es fácil de detectar.
Lo que realmente me gusta de Logwatch es que no se pierde nada. Muchas herramientas de revisión del registro sólo le mostrará las cosas que ha sido pre-definido como el mal. El problema que todos compartimos es que cuando algo malo, pero sucede lo inesperado, vuela justo debajo del alambre. Porque Logwatch le permite ver todo, ya no te pierdas lo inesperado.
Logwatch En Acción
Vamos a discutir cómo Logwatch funciona con el SSH servicio de servidor como un ejemplo. Las secuencias de comandos para hacer frente a SSH ya se han definido dentro de Logwatch, por lo que no es necesario hacer ningún ajuste para recibir las características que vamos a discutir.
Al revisar un archivo de registro, el Logwatch Lo primero que hace es reorganizar las entradas de registro sobre la base de sus tipos de mensaje. Por ejemplo, todos los inicios de sesión SSH con éxito se agrupan, así como los fallos de inicio de sesión de más, se negó conexiones, las cuentas bloqueadas, cuentas sin una concha adecuada, el protocolo de desajustes, etc, etc, etc Una vez que todos los mensajes de SSH se agrupan por su tipo, los datos se resumen para reducir la cantidad de información que se informa.
Por ejemplo, el valor por defecto es un resumen de los intentos fallidos de inicio de sesión de cuenta y dirección IP de origen. Por lo que una típica sección no informe de inicio podría tener este aspecto:
Intentos fallidos de las siguientes:
BSmith / contraseña desde 1.2.3.4: 637 tiempo (s)
jsmith / contraseña de 1.2.3.5: 2 hora (s)
Así que en lugar de tener que revisar las entradas de registro de 639 informes de un intento de inicio de sesión malo, tenemos toda la información pertinente resumir en tres líneas (si se incluye el título). Continúe este proceso para todos los otros mensajes de SSH, y que han reducido drásticamente la cantidad de tiempo necesario para revisar nuestros registros.
Pero lo que si sucede algo que Logwatch no está pre-programado para reconocer? Cuando una entrada de registro inesperada se encuentra, Logwatch añade una sección al final del informe de servicio llamada "entradas sin igual". Así que si vemos este título en la sección del servidor SSH, sabemos que un evento ha ocurrido es que sea anormal o inesperado para el servicio SSH. Este bien podría ser algún tipo de ataque que no nos damos cuenta es hacer las rondas.
Al centrarse en la sección de entradas sin precedentes, que puede identificar rápidamente la actividad inesperada. Como he dicho antes, esto es realmente el objetivo principal de hacer revisiones diarias de registro. Para encontrar las cosas que no esperamos que colar a través de nuestro sistema de alerta. Logwatch hace este proceso tan rápido y sin dolor como sea posible.
Resumen de características
En el ejemplo anterior he hablado de hacer revisiones diarias de registro, pero para ser honesto Logwatch es altamente personalizable. Se puede especificar cualquier rango que desea utilizar hasta un intervalo de un segundo. Por ejemplo, digamos que estoy investigando una intrusión en lugar de realizar una revisión del registro de todos los días. Podría especificar un rango como "02/14/2010 17:05:00 para esa hora" para centrarse en el derecho a la información que me interesa. También puede centrarse en un archivo de registro o servicio específico.
El nivel de detalle del informe también se puede personalizar. Normalmente, cuando usted se ocupa de la seguridad que tenga el hábito de querer siempre el mayor nivel de detalle de la información. Para ser honesto, con Logwatch un alto nivel de detalle es probablemente más de lo que se necesita. Personalmente me suelen seguir con "medicina" para el medio y que funciona muy bien. También puede especificar el nivel de información como de "bajo" o "alto" o usar un rango numérico de 0 a 10 para un mayor nivel de granularidad (bajo = 0, med = 5, alto = 10).
Logwatch se puede ejecutar de forma automática o como un proceso manual. Normalmente, usted tendrá que configurarlo para que se ejecute automáticamente cada día y un resumen de un solo día de las entradas del registro. Si alguna vez necesidad de ampliar o centrar el informe, que puede siempre ejecutar Logwatch de la línea de comandos y especificar exactamente lo que quiere ver. A continuación, puede utilizar el "de ahorro" para especificar un nombre de informe y el directorio de almacenamiento.
Más por venir
Lo anterior debería darle una buena idea en cuanto a las características Logwatch puede llevar a la mesa. En el próximo post hablaré OSSEC en el mismo nivel de detalle. Después de eso, voy a entrar en cómo instalar cada herramienta, así como la forma de integrar entre sí.
Puestos relacionados con:
