De combinatie van logwatch en OSSEC

15 februari 2010 door Chris Verlaat een antwoord »

Ik had onlangs een student vragen mij een vraag over de integratie van logwatch met OSSEC. Ik had het gevoel dat dit een complex en toch koel genoeg idee dat het gerechtvaardigd is een reeks van functies om het te dekken volledig. Dus de komende dagen zal ik spreken over elk van deze tools, hoe ze te integreren bij elkaar, en wat extra beveiliging zicht kan worden verkregen nadat het proces is voltooid.

Wat is logwatch?

Logwatch is een uitstekende open source tool voor het genereren van de dagelijkse menselijke leesbare log rapporten. Logboekvermeldingen hebben de neiging om te vallen in een van de drie categorieën:

  • Dingen die je weet is het kwaad
  • Dingen die je weet, is normaal en veilig kan worden genegeerd
  • Al het andere

Het is dat "alles anders" categorie waar logwatch echt schijnt. Voor de dingen die we weten het kwaad is, zullen we setup of andere vorm van alarmering systeem. Zo kunnen we schrijven een waarschuwing handtekening die de veiligheid analist waarschuwt wanneer een rekening wordt bruut geforceerd. Maar hoe zit het met aanvallen die we niet kennen of niet zeker weet wat ze eruit? Dit zou een duidelijk voorbeeld van dat 'alles anders "categorie. Het verkeer is niet normaal, maar we hebben niet eerder gezien om een ​​handtekening te wachten om een ​​alarm te genereren. Aangezien wij niet in staat om de aanval te vangen in real time, zullen we nodig hebben om hem te vangen tijdens een dagelijks een logboek bij te herzien.

Natuurlijk is het probleem met het doen van dagelijks een logboek bij reviews is dat het vervelend en tijdrovend. Ik bedoel, laten we eerlijk zijn, wie wil echt hun dag door te brengen review miljoen plus logboekvermeldingen? Zelfs als je dat deed, weet je zeker dat je eigenlijk zou het uit pakken van de gewone verkeer?

Hoe het werkt

Wat logwatch doet het erg goed is u toelaten om uw gegevens te reorganiseren in een formaat dat is makkelijker voor mensen om te volgen. Zijn grote kracht is dat het u toelaat om de dingen die je begrijpt uit de weg (normaal of slecht) te verplaatsen, zodat de onverwachte logboekvermeldingen zich onderscheiden als een zere duim. Met andere woorden, logwatch kunt u een samenvatting van uw log entries zodat het ongewone materiaal is makkelijker te herkennen.

Wat ik echt leuk vindt logwatch is dat je niet iets te verliezen. Veel loggen evaluatie tools alleen laten zien van de dingen die vooraf is gedefinieerd als het kwaad. Het probleem dat zij allen delen is dat wanneer er iets onverwachts gebeurt, maar het kwaad, vliegt hij recht onder de draad. Omdat logwatch laat je alles zien, je niet langer missen het onverwachte.

Logwatch In Actie

Laten we bespreken hoe logwatch werkt het gebruik van de SSH- server dienst als een voorbeeld. De scripts om te gaan met SSH reeds is gedefinieerd binnen logwatch, zodat u geen behoefte aan een tweaken aan de functies die we gaan bespreken te ontvangen.

Bij de herziening van een log-bestand, is het eerste wat logwatch doet is reorganiseren logboekvermeldingen op basis van hun boodschap typen. Bijvoorbeeld alle Succesvolle SSH aanmeldingen zijn gegroepeerd, evenals teveel aanmeldingen mislukten, weigerde verbindingen, afgesloten rekeningen, rekeningen zonder een behoorlijke shell, protocol mis-wedstrijden, enz. enz. enz. Als alle SSH-berichten zijn gegroepeerd volgens hun type, worden de gegevens vervolgens samengevat om de hoeveelheid informatie die wordt gemeld te verminderen.

Bijvoorbeeld, de standaard is om mislukte aanmeldingspogingen samen te vatten door de rekening en bron IP. Dus een typisch mislukte aanmelding rapport sectie ziet er als volgt uit:

Mislukte logins van deze:

BSmith / wachtwoord van 1.2.3.4: 637 keer (s)

jsmith / wachtwoord van 1.2.3.5: 2 keer (s)

Dus in plaats van tot 639 logboekvermeldingen het rapporteren van een slechte aanmelding poging herzien, hebben we alle relevante informatie samengevat in drie lijnen (als u de titel ook). Herhaal dit proces voor alle andere SSH berichten, en we hebben drastisch verminderd de hoeveelheid tijd die nodig is om onze logs.

Maar wat als er iets gebeurt dat logwatch niet is voorgeprogrammeerd te herkennen? Wanneer een onverwachte logboekvermelding is gevonden, logwatch voegt een sectie aan het eind van de dienst rapport genaamd "Ongeëvenaarde Entries". Dus als we zien deze titel in de SSH-server gedeelte, we weten dat een of andere gebeurtenis heeft plaatsgevonden die hetzij abnormale of onverwacht voor de SSH-service. Dit zou heel goed een bepaalde vorm van aanval die we ons niet bewust is het maken van de rondes.

Door te focussen in op de ongeëvenaarde inzendingen gedeelte, kunnen we snel te identificeren onverwachte activiteit. Zoals ik al eerder aangaf, dit is echt het belangrijkste doel van het doen van dagelijks een logboek bij reviews. Om de dingen die we verwachten niet dat dat zal sluipen langs ons waarschuwingssysteem. Logwatch maakt dit proces zo snel en zo pijnloos mogelijk te maken.

Samenvatting functie

In het bovenstaande voorbeeld heb ik gesproken over het doen van dagelijks een logboek bij recensies, maar om eerlijk te zijn logwatch is in hoge mate aanpasbaar. U kunt een bereik dat u wilt gebruiken om naar beneden een interval van een seconde. Laten we het bijvoorbeeld zeggen dat ik een inbraak in plaats van het uitvoeren van dagelijks een logboek bij evaluatie onderzoeken. Ik kon een bereik zoals "2010/02/14 17:05:00 voor dat uur" te richten rechts in op de informatie die mij interesseren. Ook kan ik focus in op een specifiek log-bestand of dienst.

Het detailniveau van het rapport is eveneens aanpasbaar. Normaal gesproken als je met de beveiliging krijg je in de gewoonte van altijd willen het hoogste detailniveau van de rapportage. Om eerlijk te zijn, met logwatch een hoge mate van detail is waarschijnlijk meer dan je ooit nodig zult hebben. Persoonlijk vind ik typisch stok met "med" voor middelgrote en dat werkt goed. U kunt ook de rapportage niveau als "laag" of "hoog" of gebruik een numeriek bereik van 0-10 voor een hoger niveau van granulariteit (laag = 0, med = 5, high = 10).

Logwatch kan automatisch of als een handmatig proces worden uitgevoerd. Normaal gesproken wil je het op te zetten om automatisch lopen per dag en een dag de moeite waard van het logboekvermeldingen samen te vatten. Als je ooit nodig hebt om uit te breiden of de focus het rapport, dan kunt u altijd draaien logwatch vanaf de command line en specificeert precies wat je wilt zien. U kunt dan gebruik maken van de "-save" optie om een ​​rapport naam en directory locatie voor opslag te geven.

Meer To Come

Het bovenstaande geeft je een goed idee om de functies logwatch kan brengen naar de tafel. In de volgende post bespreek ik OSSEC in dezelfde mate van detail. Daarna zal ik krijgen in hoe elk instrument en hoe ze te integreren bij elkaar te installeren.

Gerelateerde berichten:

  1. De combinatie van logwatch en OSSEC - Deel 4
  2. De combinatie van logwatch en OSSEC - Deel 3
  3. De combinatie van logwatch en OSSEC - Deel 2

Geplaatst in drie-err , Logging

Je kunt alle reacties op dit bericht volgen via de RSS 2.0 feed . U kunt een reactie achterlaten , of een trackback vanaf je eigen site.

Advertentie

Laat een reactie achter