¿Cómo maneja el análisis de registro?

OSSEC es un gran FOSS HIDS que funciona bien para reducir la cantidad de eventos de registro que necesita revisar para que sea algo potencialmente manejable.

Admite todas las fuentes de registro que mencionó: enlace

Construimos una aplicación interna que nos permite hacer un "control diario" rápido de todas las alertas que OSSEC dispara en un día; Por lo general, nos lleva menos de 20 minutos para llamar a un claro o para iniciar una investigación de incidentes. Para un entorno, recibimos ~ 70,000 alertas OSSEC por día, pero la mayoría de las alertas / eventos son grupos de eventos de autenticación o errores de aplicaciones que envían spam al sistema de registro, por ejemplo:

YaquetieneSplunkenmarcha,podríahacerlaintegracióndeSplunk+OSSEC: enlace

El otro día vi a un par de SIEM empresariales en acción: me sorprendió saber que aparentemente no tienen informes enlatados que detallan eventos de registro inusuales o raros. Los eventos inusuales y raros son con frecuencia los mejores indicadores de algo malo y pueden servir como su breve lista de eventos para perseguir hasta que los clientes potenciales se vuelvan fríos.

También utilizamos Logwatch como analizador de registro secundario.

Esta funcionalidad se logra generalmente con la ayuda de las soluciones SIM o SIEM. Hay varios proveedores populares para estos CA, ArcSight, Loglogic, Splunk, etc.

Puede recopilar los registros, recibir información sobre las alertas y tomar medidas en función de la correlación de reglas. Puede recopilar registros de todas las fuentes posibles, bases de datos, Unix, Windows, cortafuegos, etc.

Los métodos a menudo difieren según la escala y la ubicación, por ejemplo, el registro perimetral para una empresa suele ser demasiado para que un equipo de alerta interno pueda enfrentarlo, por lo que generalmente se subcontrata a uno de los proveedores de servicios administrados, que luego transmitirán alertas relevantes.

Para organizaciones más pequeñas, o para un registro de host específico, el problema es mucho más manejable, sin embargo, todavía tendrá que ver cómo entrenar y ajustar el proceso de alerta. Splunk y otros harán el trabajo, pero debe planificar la cantidad de recursos necesarios para cuidar durante las primeras semanas, en cualquier actualización o cambio al entorno registrado, en cualquier cambio en los perfiles de ataque y, de hecho, continuamente durante tiempo.

Teniendo eso en cuenta, los mecanismos habituales son el uso de alertas estadísticas y basadas en firmas: las firmas son rápidas y pueden ser actualizadas por los proveedores de servicios, por lo que requieren poco esfuerzo, sin embargo, deben crearse, por lo que normalmente no se identifican nuevos tipos de ataque, mientras que las alertas estadísticas responden a cualquier cambio en el registro, por lo que puede terminar sobrecargado con falsos positivos hasta que sintonice.

Desde un punto de vista de seguridad (hay muchas otras cosas por las que vale la pena revisar los registros), entonces los registros solo mostrarán de manera confiable dónde la seguridad está funcionando como se esperaba. Si alguien ha pasado por alto las medidas de seguridad, es probable que los registros no lo detecten, ya que los registros pueden verse comprometidos, por lo que son de uso limitado.

Además, si puede crear un mecanismo para analizar los registros en busca de posibles infracciones, en la mayoría de los casos es igual de fácil aplicar la política en lugar de esperar a que se produzca una infracción.

El análisis de registros no sustituye a un comprobador de integridad de archivos basado en host (como Lids, tripwire)

Habiendo dicho eso, recomendaría el uso de fail2ban cuando corresponda.

También el análisis de registro debe tener en cuenta la rutina de administración de cambios de la organización, o más específicamente el proceso de actualización de software / hardware, al menos en el sentido de si la integridad del archivo ha cambiado.