Me gustaría implementar OSSEC como HIDS en mi servidor, pero por defecto OSSIC monitorea una cantidad de carpetas. Voy a desplegar una aplicación web en mi servidor. Entonces, ¿cuál debería ser mi configuración OSSEC predeterminada para la seguridad de la aplicación web, es decir, carpetas, registros para monitorear la detección de intrusiones?
Es posible que desee incluir carpetas que contengan su aplicación. En caso de que un atacante pueda explotar su servidor, es probable que escriba un archivo en su raíz web.
Para la detección de intrusiones, definitivamente querrá monitorear sus archivos access.log y error.log para esta aplicación web. Yo cuidaría de:
Tráfico inusualmente alto. Calcule qué cantidad normal de tráfico se basa en su access.log y configure un monitor para que le avise si de repente obtiene una cantidad mucho mayor (por ejemplo, 10 veces más solicitudes) que podría indicar un ataque DoS o un sondeo del servidor.
Una gran cantidad de solicitudes POST. Esto generalmente indica un ataque de inyección SQL.
Muchas líneas en su archivo error.log. De nuevo, esto probablemente indica un sondeo del servidor (o algo mal configurado).
Otros, por favor siéntase libre de agregar / editar.
Lea otras preguntas en las etiquetas web-application ids intrusion