Jeg har nylig hatt en student spør meg et spørsmål om integrering av Logwatch med OSSEC. Jeg følte meg som dette var en kompleks og likevel kjølig nok til ideen om at det garantert en serie innlegg for å dekke den i sin helhet. Så i løpet av de neste dagene vil jeg snakke om hver av disse verktøyene, hvordan å integrere dem sammen, samt hvilke ekstra sikkerhet synlighet kan oppnås når prosessen er fullført.
Hva er Logwatch?
Logwatch er et utmerket åpen kilde verktøy for å generere daglige lesbar log rapporter. Loggoppføringer tendens til å falle inn under en av tre kategorier:
- Stuff du vet er ondt
- Stuff du vet er normalt og kan trygt ignoreres
- Alt annet
Det er at "alt annet" kategorien der Logwatch virkelig skinner. For de ting vi vet er ondt, vil vi setup noen form for varsling system. For eksempel kan vi skrive et varsel signatur som advarer sikkerhetsanalytiker når en konto blir brute tvunget. Men hva med de angrepene vi ikke vet om eller er usikker på hva de ser ut? Dette ville være et klart eksempel på at "alt annet" kategorien. Trafikken er ikke normal, men vi har ikke sett det før å ha en signatur som venter på å generere et varsel. Siden vi vil ikke kunne fange angrep i sanntid, vil vi trenger for å fange den under en daglig logg gjennomgang.
Selvfølgelig problemet med å gjøre daglig logg vurderinger er at det er kjedelig og tidkrevende. Jeg mener la oss være ærlige, som ønsker egentlig å tilbringe dagen gjennomgå millioner pluss loggoppføringene? Selv om du gjorde, er du sikker på at du ville faktisk fange ut av vanlig trafikk?
Slik fungerer det
Hva Logwatch gjør veldig godt er tillate deg å omorganisere dataene til et format som er lettere for mennesker å følge. Dens virkelige styrke er at det tillater deg å flytte ting du forstår ut av veien (normal eller onde), slik at det uventede loggoppføringene skiller seg ut som en sår tommel. Med andre ord, lar Logwatch du oppsummere din loggoppføringene så uvanlige ting er lettere å få øye på.
Hva jeg elsker om Logwatch er at du ikke mister noe. Mange log gjennomgang verktøy vil bare vise deg ting som har blitt pre-definert som onde. Problemet de alle deler er at når noe ondt, men uventet skjer, flyr den rett under ledningen. Fordi Logwatch lar deg se alt du ikke lenger glipp av det uventede.
Logwatch In Action
Lar diskutere hvordan Logwatch fungerer ved hjelp av SSH- server tjeneste som et eksempel. Den skript å forholde seg til SSH allerede er definert innenfor Logwatch, så du trenger ikke å gjøre noe tweaking for å få funksjonene vi skal diskutere.
Ved gjennomgang en loggfil, er det første Logwatch ikke reorganisere loggoppføringene basert på deres budskap typer. For eksempel alle Vellykket SSH pålogginger er gruppert sammen, så vel som for mange logon feil, nektet tilkoblinger, låste kontoene, regnskap uten et skikkelig shell, protokoll mis-kamper, etc. etc. etc. Når alle SSH-meldinger blir gruppert etter type, er dataene deretter oppsummert for å redusere mengden av informasjon blir rapportert.
For eksempel er standard å oppsummere mislykkede påloggingsforsøk etter konto og kilde IP. Så en typisk mislykket pålogging rapport seksjonen kan se slik ut:
Mislykkede pålogginger fra disse:
bsmith / passord fra 1.2.3.4: 637 time (s)
jsmith / passord fra 1.2.3.5: 2 time (s)
Så snarere enn å måtte gjennom 639 loggoppføringer rapportering en dårlig logon forsøk, har vi all relevant informasjon oppsummert i tre linjer (hvis du inkluderer tittelen). Fortsett denne prosessen for alle de andre SSH meldinger, og vi har dramatisk redusert mengden tid som kreves for å lese våre logger.
Men hva hvis noe skjer som Logwatch ikke er forhåndsprogrammert til å gjenkjenne? Når en uventet loggoppføring blir funnet, legger Logwatch en seksjon til slutten av tjenesten rapport kalt "Enestående Entries". Så hvis vi ser denne tittelen i SSH server delen, vet vi noen hendelse har skjedd som enten er unormale eller uventede for SSH-tjenesten. Dette kan meget vel være en form for angrep som vi ikke er klar gjør rundene.
Ved å fokusere inn på uovertruffen oppføringer avsnittet, kan vi raskt identifisere uventede aktiviteten. Som jeg skrev tidligere, er dette virkelig det viktigste målet for å gjøre daglig logg anmeldelser. For å finne ting vi ikke forventer noe som vil snike seg forbi vår varsling system. Logwatch gjør denne prosessen så raskt og så smertefri som mulig.
Feature Oppsummering
I eksemplet ovenfor snakket jeg om å gjøre daglig logg anmeldelser, men for å være ærlig Logwatch er lett å tilpasse. Du kan angi hvilken som helst område du ønsker å bruke ned til et intervall på ett sekund. For eksempel la oss si jeg er etterforsker en inntrenging snarere enn å utføre en daglig logg gjennomgang. Jeg kunne angi et område som "2010/02/14 17:05:00 for den timen" å fokusere rett på informasjonen som interesserer meg. Jeg kan også fokusere på ett bestemt loggfilen eller tjeneste.
Detaljnivået av rapporten er også tilpasses. Vanligvis når du håndtere sikkerheten du får for vane å alltid ønsker det høyeste detaljnivået for rapportering. For å være ærlig, med Logwatch et høyt detaljnivå er sannsynligvis mer enn du noensinne vil trenge. Personlig har jeg typisk stick med "med" for medium og som funker fint. Du kan også angi rapportering nivå som "lav" eller "høy" eller bruk en numerisk rekke 00-10 for et høyere detaljnivå (lav = 0, med = 5, high = 10).
Logwatch kan kjøres automatisk eller som en manuell prosess. Vanligvis vil du ønsker å sette den opp å kjøre automatisk hver dag og oppsummere en dag igjen av loggoppføringene. Hvis du noen gang behov for å utvide eller fokusere rapporten, kan du alltids kjøre Logwatch fra kommandolinjen mens spesifiserer nøyaktig hva du ønsker å se. Du kan deretter bruke "-lagre" for å angi en rapport navn og katalog plassering for lagring.
Mer kommer
Ovennevnte bør gi deg en god idé som til funksjonene Logwatch kan bringe til bordet. I neste innlegg vil jeg diskutere OSSEC i samme detaljnivå. Etter det skal jeg komme inn i hvordan du installerer hvert verktøy samt hvordan å integrere dem sammen.
Relaterte innlegg:
