Monitoreo de eventos para una red doméstica

5

Me gustaría utilizar algunos de los productos tipo SIEM gratuitos que existen para aumentar las posibilidades de que detecte ataques y compromisos de cualquiera de los dispositivos en mi red doméstica. La mayoría de los dispositivos de mi casa funcionan con Linux. Solo me interesan las soluciones que son posibles sin una gran inversión de esfuerzo (no más de ~ 5 horas de configuración, por ejemplo, y un mínimo de alimentación manual y riego).

Tengo los activos habituales de la red doméstica que me gustaría proteger: integridad y disponibilidad de los recursos informáticos, incluido el ancho de banda (sería bueno saber que formé parte de una red de bots); confidencialidad de las credenciales de la cuenta en línea; disponibilidad de medios almacenados, etc.

Algunas investigaciones sobre este sitio y Google ha sugerido que Snort + Snorby podría ser una opción; También tengo experiencia en el uso de Splunk , que es gratuito para hasta 500 mb de registros por día y se puede asociar con cualquier número de otros Productos (soy un poco fanático de Splunk, aunque no lo he usado con fines de seguridad).

¿Es esto viable o todas las herramientas de SIEM están diseñadas para ser ejecutadas por profesionales de operaciones de seguridad a tiempo completo? Si es viable, ¿qué puedo configurar Snort + Snorby para detectar / qué aplicaciones o públicamente ¿Las configuraciones y búsquedas disponibles debo usar con Splunk?

¿Cuál de estas dos opciones es más probable que cumpla con mis objetivos de bajo esfuerzo de instalación y mantenimiento mientras sigue siendo útil?

Estoy particularmente interesado en las experiencias de cualquier persona * que tenga tal configuración, pero las opiniones basadas en la experiencia profesional que utilizan estas herramientas también son más que bienvenidas.

* si tienes una configuración ejecutándose en casa y también eres una persona de segundo lugar que se dedica a esto, por favor, menciona este hecho :)

    
pregunta Michael 10.07.2013 - 23:10
fuente

2 respuestas

3

La cebolla de seguridad suena como tu mejor apuesta. Se configurará e IDS bastante rápido. Haga que vigile el tráfico que entra y sale de su red, instale OSSEC en sus clientes en su casa y apúntelos a la cebolla de seguridad. Este sitio web tiene toda la información que necesita sobre cómo hacerlo. enlace

    
respondido por el k to the z 10.07.2013 - 23:35
fuente
2

securityonion también sería mi favorito para esa tarea, pero:

  

¿Es esto viable o todas las herramientas de SIEM están diseñadas para ser ejecutadas por profesionales de operaciones de seguridad a tiempo completo?

debería tener alguna idea sobre qué tipo de ataques están ocurriendo y por qué algunas alertas están activando las reglas. snort / suricata son identificaciones basadas en red, por lo tanto, filtran y analizan su tráfico y son capaces de producir postivies falsas, si no las ajusta correctamente.

no hay una solución para instalar y no preocuparse nunca.

  

Si es viable, ¿qué puedo configurar Snort + Snorby para detectar

todo lo que cabe en un network-paket :)

puedes usarlo para detectar ataques - > en, pero también cosas maliciosas en - > afuera, si usa los últimos conjuntos de reglas de amenazas emergentes *) se preguntará qué está chocando con su nic 24/7, que intenta entrar en internet

  

¿Qué aplicaciones o configuraciones y búsquedas disponibles públicamente debo usar con Splunk?

snort es un almacén / índice de registro central con búsquedas de forma libre

  

¿Cuál de estas dos opciones es más probable que cumpla con mis objetivos de bajo esfuerzo de instalación y mantenimiento mientras sigue siendo útil?

tendrá que "aprender" cada herramienta que usará en dicha configuración, porque tiene que analizar sus eventos, ordenar los falsos positivos y optimizar su configuración. Esta puesta a punto es lo que lleva más tiempo. y necesitas sintonizar.

  

Estoy particularmente interesado en las experiencias de cualquier persona * que tenga tal configuración, pero las opiniones basadas en la experiencia profesional que utilizan estas herramientas también son más que bienvenidas.

estas herramientas son perfectas para tal situación, pero el precio es: consumirá algo de su tiempo

*) Lamentablemente, et se ha vuelto muy centrado en el antivirus en los últimos años, perdiendo algo de excelencia, imho

    
respondido por el that guy from over there 11.07.2013 - 09:45
fuente

Lea otras preguntas en las etiquetas