J'ai récemment eu un étudiant me poser une question concernant l'intégration des Logwatch avec OSSEC. Je me sentais comme cela a été une idée complexe et pourtant assez cool qu'il justifie d'une série de messages pour le couvrir en entier. Donc, au cours des prochains jours je vais vous parler de chacun de ces outils, comment les intégrer ensemble, ainsi que ce que la visibilité de sécurité supplémentaires peuvent être acquises une fois le processus terminé.
Qu'est-ce que Logwatch?
Logwatch est un outil open source excellente pour générer des rapports humains quotidiens log lisible. Les entrées du journal ont tendance à tomber dans l'une des trois catégories suivantes:
- Stuff vous savez qui est mal
- Stuff vous savez qui est normal et peut être ignoré
- Tout le reste
C'est que «tout autre» catégorie où Logwatch brille vraiment. Pour les choses que nous savons, c'est le mal, nous mettrons en place une certaine forme de système d'alerte. Par exemple, nous pouvons écrire une signature d'alerte qui prévient l'analyste en sécurité quand un compte est brutale forcé. Mais quid des attaques, nous ne savons pas au sujet ou vous ne savez à quoi ils ressemblent? Ce serait un exemple clair de ce «tout autre» catégorie. Le trafic n'est pas normal, mais nous n'avons pas vu avant d'avoir une signature d'attente pour générer une alerte. Depuis, nous serons incapables d'attraper l'attaque en temps réel, nous aurons besoin de l'attraper lors d'un examen journal quotidien.
Bien sûr, le problème avec les critiques faites journal quotidien, c'est qu'il est longue et fastidieuse. Je veux dire, soyons honnêtes, qui veut vraiment passer leur journée en revue un millions d'euros plus les entrées de journal? Même si vous n'avez, vous êtes sûr que vous fait prendre le hors de la circulation ordinaire?
Comment ça marche?
Que ne Logwatch très bien, c'est vous permettre de réorganiser vos données dans un format qui est facile pour les humains à suivre. Sa vraie force, c'est qu'il vous permet de déplacer les trucs que vous comprenez de la route (normal ou mal), de sorte que les entrées du journal inattendu se démarquer comme un pouce endolori. En d'autres termes, Logwatch vous permet de résumer vos entrées de journaux de sorte que le truc inhabituel est plus facile à repérer.
Qu'est-ce que j'aime vraiment à propos Logwatch est que vous ne perdez rien. Beaucoup d'outils de révision log ne vous montrera que les trucs qui a été pré-défini comme étant le mal. Le problème qu'ils partagent tous, c'est que quand quelque chose se passe mal, mais inattendus, il vole à droite sous le fil. Parce Logwatch vous permet de tout voir, vous n'avez plus manquer à l'inattendu.
Logwatch En action
Permet de discuter de la façon Logwatch fonctionne en utilisant le SSH service de serveur comme un exemple. Les scripts pour faire face à SSH ont déjà été définies dans Logwatch, vous n'avez donc pas besoin de faire aucune modification de recevoir les caractéristiques que nous allons discuter.
Lors de l'examen d'un fichier journal, la première chose que Logwatch ne se réorganisent les entrées du journal en fonction de leurs types de messages. Par exemple toutes les connexions SSH réussies sont regroupés, ainsi que les échecs de connexion trop nombreux, ont refusé les connexions, les comptes verrouillés, des comptes sans une coquille adéquate, le protocole mis-allumettes, etc etc etc Une fois que tous les messages de SSH sont regroupés par leur type, les données sont ensuite résumées afin de réduire la quantité d'information ont été signalés.
Par exemple, la valeur par défaut est de résumer les tentatives de connexion a échoué par compte et par adresse IP source. Ainsi, une section typique échoué rapport d'ouverture pourrait ressembler à ceci:
Echecs d'authentification à partir de ces:
bsmith / mot de passe de 1.2.3.4: 637 fois (s)
jsmith / mot de passe de 1.2.3.5: 2 heure (s)
Ainsi, plutôt que d'avoir à examiner les entrées de journal 639 rapports une mauvaise tentative de connexion, nous avons toutes les informations pertinentes résumées en trois lignes (si vous incluez le titre). Continuez ce processus pour tous les messages SSH autres, et nous avons considérablement réduit la quantité de temps nécessaire pour revoir nos journaux.
Mais que faire si quelque chose arrive qui Logwatch n'est pas pré-programmé pour reconnaître? Quand une entrée du journal inattendu est trouvé, Logwatch ajoute une section à la fin du rapport de service appelé «Entrées inégalée". Donc, si nous voyons ce titre dans la section serveur SSH, nous savons qu'un événement s'est produit qui est soit anormal ou inattendu pour le service SSH. Cela pourrait très bien être une forme d'attaque qui nous ne sommes pas conscients fait le tour.
En se concentrant sur la section inégalée entrées, nous pouvons identifier rapidement l'activité inattendue. Comme je l'ai indiqué précédemment, ceci est vraiment l'objectif principal de faire des critiques journal quotidien. Pour trouver les choses que nous ne prévoyons pas ce qui va se faufiler à notre système d'alerte. Logwatch rend ce processus soit aussi rapide et indolore que possible.
Résumé des fonctionnalités
Dans l'exemple ci-dessus, je parlé de faire des critiques journal quotidien, mais pour être honnête, Logwatch est hautement personnalisable. Vous pouvez spécifier n'importe quelle plage que vous souhaitez utiliser jusqu'à un intervalle d'une seconde. Par exemple, disons que je suis une enquête sur une intrusion plutôt que d'effectuer un examen journal quotidien. Je ne pouvais spécifier une plage comme "14/02/2010 17:05:00 pour cette heure" à se concentrer juste sur les informations qui m'intéressent. Je peux aussi se concentrer sur un seul fichier journal ou un service spécifique.
Le niveau de détail du rapport est également personnalisable. En général, lorsque vous traitez avec la sécurité que vous prenez l'habitude de toujours vouloir plus haut niveau en détail des rapports. Pour être honnête, avec Logwatch un haut niveau de détail est probablement plus que vous aurez jamais besoin. Personnellement, je généralement s'en tenir à "med" pour les moyennes et qui fonctionne à bien. Vous pouvez également spécifier le niveau de rapport comme «faible» ou «élevé» ou utiliser une plage numérique de 0-10 pour un niveau supérieur de granularité (faible = 0, med = 5, haute = 10).
Logwatch peut être exécuté automatiquement ou comme un processus manuel. Typiquement, vous voudrez le configurer pour qu'il s'exécute automatiquement chaque jour et de résumer pour une journée d'entrées de journal. Si jamais vous avez besoin de développer ou de se concentrer le rapport, vous pouvez toujours courir Logwatch partir de la ligne de commande tout en précisant exactement ce que vous voulez voir. Vous pouvez ensuite utiliser l'option "-sauver" option pour spécifier un nom de rapport et de l'emplacement du répertoire de stockage.
Plus à venir
Le ci-dessus devrait vous donner une bonne idée quant aux caractéristiques Logwatch peut apporter à la table. Dans le prochain post je vais discuter OSSEC dans le même niveau de détail. Après cela, je vais entrer dans l'installation de chaque outil ainsi que la façon de les intégrer ensemble.
Related posts:
