Tengo OSSEC instalado en mis hosts. Quiero detectar escaneos de puertos y generar una alerta en OSSEC. Entonces, ¿cómo puedo detectar estas exploraciones de puertos?
¿Es posible leer los registros de iptables? ¿Recomiendas alguna herramienta específica como PSAD?
Gracias.
Supervisión de registros
Puede hacerlo a través de la supervisión de registros y activar algunas alertas. Echa un vistazo a una solución comercial como Splunk. Esto le permite administrar y leer sus registros mediante la creación de paneles, umbrales y alertas.
Cada vez que se le está investigando, puede generar una alerta a través de la supervisión del registro.
¡Pronto se encontrará creando paneles y alertas para todo tipo de cosas!
También puedes ver GrayLog y ELK (ElasticSearch, Logstash, Kibana) que creo que son de código abierto y gratuitos.