Recentemente ho avuto uno studente mi chiede una domanda riguardante l'integrazione di Logwatch con OSSEC. Mi sentivo come se questa era una idea complessa e ancora abbastanza fresco che giustificato una serie di post per coprire per intero. Così nei prossimi giorni parlerò di ciascuno di questi strumenti, come integrare tra loro, così come quello che la visibilità di sicurezza aggiuntiva può essere acquisita una volta che il processo è completo.
Che cosa è Logwatch?
Logwatch è un ottimo strumento open source per la generazione di report giornalieri umani registro leggibili. Le voci del registro tendono a cadere in una delle tre categorie:
- Cose che conosci è il male
- Cose che conosci è normale e può essere ignorato
- Tutto il resto
E 'che la categoria "tutto il resto" dove Logwatch brilla davvero. Per le cose che sappiamo è il male, noi configurare una qualche forma di sistema di allarme. Ad esempio possiamo scrivere una firma allarme che avverte l'analista di sicurezza quando un account viene attacco a forza bruta. Ma per quanto riguarda gli attacchi che non conoscono o non sono sicuri di quello che sembrano? Questo sarebbe un chiaro esempio di quella categoria "tutto il resto". Il traffico non è normale, ma non lo abbiamo visto prima di avere una firma in attesa di generare un avviso. Dal momento che non saremo in grado di catturare l'attacco in tempo reale, avremo bisogno di recuperare durante una revisione registro giornaliero.
Naturalmente il problema con fare recensioni di log giornalieri è che è noioso e richiede tempo. Voglio dire siamo onesti, chi vuole davvero trascorrere la giornata revisione milione, più le voci di registro? Anche se hai fatto, sei sicuro che sarebbe in realtà prendere il fuori dal traffico ordinario?
Come funziona
Cosa Logwatch fa molto bene è consentono di riorganizzare i dati in un formato che è più facile per gli esseri umani da seguire. La sua vera forza è che ti permette di spostare la roba si capisce dal modo (normale o male), in modo che le voci di registro improvvisi si stagliano come un pollice irritato. In altre parole, Logwatch ti permette di riassumere le voci di registro in modo insolito la roba è più facile da individuare.
Quello che mi piace di Logwatch è che non si perde nulla. Molti strumenti di revisione del registro solo vi mostrerà la roba che è stata pre-definito come il male. Il problema che hanno in comune è che quando qualcosa di male, ma imprevisto, vola proprio sotto il filo. Perché Logwatch ti permette di vedere tutto, non è più perdere la inaspettata.
Logwatch In Azione
Consente di discutere di come funziona Logwatch utilizzando il SSH servizio di server come un esempio. Gli script per affrontare con SSH sono già stati definiti nell'ambito Logwatch, quindi non c'è bisogno di fare alcun tweaking per ricevere le caratteristiche che andremo a discutere.
Nel rivedere un file di log, il Logwatch prima cosa che fa è riorganizzare le voci di registro in base al tipo di messaggio. Ad esempio tutti gli accessi di successo SSH sono raggruppati insieme, così come troppi errori di accesso, ha rifiutato le connessioni, account bloccati, i conti senza un corretto del guscio, il protocollo mis-match, ecc ecc ecc Una volta che tutti i messaggi SSH sono raggruppati secondo i loro tipo, i dati vengono poi riassunti per ridurre la quantità di informazioni stati segnalati.
Ad esempio, il valore predefinito è quello di riassumere i tentativi di accesso non riusciti per account e IP di origine. Così una tipica sezione di report di accesso non potrebbe somigliare a questo:
Accessi non riusciti da questi:
bsmith / password da 1.2.3.4: 637 time (s)
jsmith / password da 1.2.3.5: 2 time (s)
Quindi, piuttosto che dover rivedere le voci di registro 639 si riferisce di un tentativo di accesso male, abbiamo tutte le informazioni pertinenti riassunte in tre linee (se si include il titolo). Continuare il processo per tutti gli altri messaggi SSH, e abbiamo ridotto drasticamente la quantità di tempo necessario per rivedere i nostri registri.
Ma cosa succede se accade qualcosa che Logwatch non è pre-programmato per riconoscere? Quando una voce del registro inaspettata si trova, Logwatch aggiunge una sezione alla fine del rapporto di servizio denominata "Le voci impareggiabili". Quindi, se vediamo questo titolo nella sezione server SSH, sappiamo che un evento si è verificato che è o anormale o inatteso per il servizio SSH. Questo potrebbe benissimo essere una qualche forma di attacco che non siamo a conoscenza sta facendo il giro.
Focalizzando l'attenzione sulla sezione in ineguagliata voci, siamo in grado di identificare rapidamente l'attività inaspettato. Come ho detto prima, questo è davvero l'obiettivo principale di fare recensioni di log giornalieri. Per trovare la roba che non ci aspettiamo che furtivamente davanti al nostro sistema di allarme. Logwatch rende questo processo più rapido e indolore possibile.
Riepilogo delle caratteristiche
Nell'esempio precedente ho parlato di fare recensioni di log giornalieri, ma ad essere onesti Logwatch è altamente personalizzabile. È possibile specificare qualsiasi intervallo che si desidera utilizzare fino a un intervallo di un secondo. Per esempio diciamo che sto studiando un'intrusione anziché effettuare una rassegna quotidiana log. Ho potuto specificare un intervallo come "2010/02/14 17:05:00 per quell'ora" mettere a fuoco proprio nel sulle informazioni che mi interessano. Posso anche concentrarsi su un file di log o un servizio specifico.
Il livello di dettaglio del report è anche personalizzabile. In genere quando avete a che fare con la sicurezza si ottiene l'abitudine di volere sempre il massimo livello di dettaglio di reporting. Per essere onesti, con Logwatch un elevato livello di dettaglio è probabilmente più di quello che mai bisogno. Personalmente Io di solito bastone con "med" per le medie e che funziona bene. È inoltre possibile specificare il livello di reporting come "basso" o "alta" o utilizzare un intervallo numerico di 0-10 per un più alto livello di granularità (basso = 0, med = 5, alto = 10).
Logwatch può essere eseguito automaticamente o come un processo manuale. In genere si vuole impostare in modo da eseguire automaticamente ogni giorno e riassumere la pena un giorno di voci di registro. Se hai bisogno di espandere o concentrare il report, è sempre possibile eseguire Logwatch dalla riga di comando, mentre specificando esattamente quello che vuoi vedere. È quindi possibile utilizzare l'opzione "-save" l'opzione per specificare un nome di relazione e percorso di directory per l'archiviazione.
More To Come
Quanto sopra dovrebbe darvi una buona idea per quanto riguarda le caratteristiche Logwatch può portare al tavolo. Nel prossimo post parlerò OSSEC allo stesso livello di dettaglio. Dopo di che, farò entrare in modalità di installazione di ogni strumento e come integrarli insieme.
Related posts:
