¿Cuál es la ventaja de combinar diferentes archivos de registro web con diferentes formatos?

4

¿Cuál es el beneficio de combinar diferentes archivos de registro web con diferentes formatos en términos de seguridad de la aplicación web? En otras palabras, ¿de qué manera la combinación del archivo de registro iis con el archivo de registro de apache ayuda a identificar los ataques?

    
pregunta Zuly Gonzalez 01.04.2011 - 18:38
fuente

2 respuestas

5

Lo que está describiendo en su pregunta a menudo se llama Informationfusion . Al poder conectar diferentes fuentes de registros, puede aumentar más fácilmente el conocimiento del contexto de las solicitudes y ayudar a determinar su interpretación.

Cuantos más registros pueda poner en contexto con otros registros e información, más valiosos se vuelven.

Por ejemplo, digamos que todos sus servidores web se envían a un dispositivo central de registro donde su formato está unificado. Una vez que sus registros ahora están unificados, puede usar comandos como:

cat weblogs.tz | cut $ip > ip.txt
netcat whois.cymru.org 43 < ip.txt > result.txt

Y ahora estás sentado en tus usuarios ASN, dirección IP, Nettrange, país y otras cosas interesantes de todos tus servidores web. Yendo un paso más allá, ahora busca clientes sospechosos que visitan sus servidores en patrones que no son normales, tal vez en busca de un ataque enfocado.

Ahora, con todos los registros de su servidor web, también puede buscar más fácilmente en cualquier patrón que se vea en todos o solo en algunos de sus servidores web. Me gusta esta lista de zeltser.com/log-management/security-incident-log-review- lista de verificación :

  • Intentos de acceso excesivo a archivos no existentes
  • El código (SQL, HTML) se ve como parte de la URL
  • Acceso a extensiones que no has implementado
  • El servicio web detuvo / inició / falló los mensajes
  • Acceso a páginas "arriesgadas" que aceptan comentarios del usuario
  • Observe los registros en todos los servidores del grupo de equilibradores de carga
  • Código de error 200 en archivos que no son tuyos
  • Error en la autenticación del usuario Código de error 401, 403
  • Código de error de solicitud no válido 400 Error interno del servidor Código de error 500
respondido por el Chris Dale 02.04.2011 - 14:05
fuente
2

Si convierte los archivos de registro de IIS al formato Apache, puede ejecutar apache-scalp.googlecode.com en ellos.

    
respondido por el atdre 04.04.2011 - 03:20
fuente

Lea otras preguntas en las etiquetas