análisis fallidos de intentos de inicio de sesión

Navega tus respuestas
3

¿Hay algún proyecto de código abierto que registre todos los intentos fallidos de inicio de sesión durante un período de tiempo y me dé un análisis de los mismos? el fallo de inicio de sesión se produce en Windows o en la autenticación de usuarios de Unix o Mac a través de rdp, telnet o pantallas de inicio de sesión o cualquier otro formulario     

pregunta sashank 29.05.2012 - 06:29
fuente

3 respuestas

4

Si desea hacer un análisis de registro en general, puede usar Splunk o algo parecido y simplemente introducir todos los registros. Solo tienes que crear una consulta para tus diferentes archivos (sugiero colocarlos en un índice). Después de eso, simplemente puede crear un gráfico de tiempo y más detalles para ver cuándo, dónde y cuánta gente ha intentado iniciar sesión. Sin embargo, no es código abierto. Solo algunas partes son de código abierto y no es barato si tiene más de 500 MB de registros por día. Hay una alternativa completa de código abierto llamada logstash .

    
respondido por el Lucas Kauffman 29.05.2012 - 08:33
fuente
1

Splunk es ideal para revisar registros, pero una de las mejores herramientas para el análisis en profundidad es La herramienta Log Parser de Microsoft . Básicamente, le permite ejecutar consultas SQL en muchos formatos de datos de registro. Es ideal para consultas ad hoc, pero es fácil crear un script para generar gráficos e informes con un formato agradable.

Lo más importante de Log Parser es que con un poco de creatividad puedes crear algunas cosas geniales. Por ejemplo:

  1. Mostrar a todos los usuarios que tuvieron inicios de sesión fallidos en más de una computadora en la red dentro de un período de una hora.
  2. Enumere los usuarios con los intentos de inicio de sesión más fallidos
  3. Enumere los nombres de usuario y las direcciones IP de todos los usuarios que hayan iniciado sesión en un servidor específico
  4. Mostrar a todos los usuarios que han iniciado sesión en momentos inusuales o desde lugares inusuales

También sé que probablemente no debería promocionar mis propias cosas, pero realmente recomiendo el libro "Log Parser Toolkit" que publiqué, que tiene capítulos escritos por varios expertos de la industria (incluido el autor de Log Parser) que es Una gran referencia para estas cosas. Mi propia copia está muy gastada y todavía la uso constantemente.

    
respondido por el Mark Burnett 31.05.2012 - 00:29
fuente
-1

Splunk es la mejor opción para cualquier análisis relacionado con la seguridad basado en registros. Obtener intentos fallidos de inicio de sesión de manera muy categorizada y productiva en splunk es solo un golpe de consulta.

Según el tipo de fuente, puede administrar entre diferentes tipos de fuente, e incluso puede administrar el período de tiempo del registro que desea revisar. También proporciona muchas buenas estadísticas gráficas que pueden explicarse fácilmente a la administración de contrataciones en cuestión.

Solo necesitas poner presión en la co-relación para obtener el potencial de producción.

    
respondido por el Jigar Lad 01.11.2015 - 01:48
fuente

Lea otras preguntas en las etiquetas

¿Puede un rastreador instalado por el usuario en el alero de su máquina dejar caer mi aplicación y aplicar ingeniería inversa? (Fiddler 2 HTTPS sniffing) ¿Es una mala idea dejar que el usuario sea responsable de su propia clave simétrica?