¿Cuáles son los incidentes / eventos de seguridad más relevantes que una empresa debe monitorear? [cerrado]

1

¿Cuáles son los incidentes / eventos de seguridad más relevantes que una empresa debe monitorear con las herramientas de gestión de eventos? Relacionado con servidores, antivirus, redes, etc.

    
pregunta Luis Mtz Bacha 07.03.2012 - 19:00
fuente

2 respuestas

2

Debes registrarlo todo y analizar cualquier cosa. Las personas que intentan destruir sus sitios y servidores. Todos estos son incidentes relevantes ya que representan una amenaza.

No es relevante decir qué es un incidente, ya que cada intento podría ser un evento relevante en algún momento. Lo importante es catalogarlos con diferentes niveles. Algunas amenazas representan un peligro mayor que otras. Algunos de ellos pueden contener mucho "comportamiento normal". La cuestión es que algunas cosas solo se vuelven relevantes después de analizarlas durante un período de tiempo más largo. Podrías notar que un atacante está haciendo todo lo posible por entrar. Podría obtener un servidor pirateado y luego tendría que poder regresar y buscar eventos de seguridad relacionados para aprender del incidente.

    
respondido por el Lucas Kauffman 07.03.2012 - 20:48
fuente
1

Depende de la fuente de los registros! Si el origen de los registros es Windows, busque fallos de inicio de sesión en la cuenta, restablecimiento de la contraseña o intento de cambio, eliminación o creación de una nueva cuenta, conflicto en los nombres de host. Puede visitar ultimatewindowssecurity donde puede encontrar eventos críticos para buscar.

En los registros de firewall, puede verificar el escaneo de puertos (una IP del host visita más de 100 puertos de destino en poco tiempo), los inicios de sesión de FTP en SAP, la actividad de malware.

Verifique el alto consumo de ancho de banda por cualquier aplicación o proceso.

En los registros de proxy, verifique la inyección SQL, el templado de datos, las consultas de búsqueda, etc.

Casos de uso:

  1. Avise si se intentan 5 intentos de inicio de sesión fallidos con nombres de usuario diferentes desde la misma IP a la misma máquina en 15 minutos y luego, si se produce una conexión exitosa desde la misma IP a cualquier máquina.

  2. Avise si un IP realiza una exploración del host y luego si la misma IP establece una conexión exitosa y luego se establece una conexión hacia atrás desde la IP conectada a la IP de conexión.

  3. Avisar si se establecen más de 100 conexiones desde las diferentes IP externas a la misma IP de destino en un minuto.
  4. Avisar si se establecen 100 conexiones desde la misma IP externa a través de diferentes puertos a la misma IP de destino en un minuto.
  5. Avisar si el mismo usuario intenta más de tres intentos fallidos de inicio de sesión en la misma máquina en una hora.
  6. Avisar si un usuario no puede iniciar sesión en ningún servidor y causó una autenticación fallida y en dos horas si ese usuario no puede iniciar sesión en el mismo servidor.
  7. Avisa a uno si UTM / FireWall bloquea más de 100 paquetes desde la misma IP de origen y no avisa dentro de una hora. (Se bloquean millones de paquetes en caso de un ataque DDOS. Si se envía un correo electrónico para cada uno, usted estará expuesto al ataque DDOS).
  8. Reportar la IP de origen que causa UnusualUDPTraffic.
  9. Avisar si se produce un tráfico a una fuente o desde una fuente en la lista de IPReputation.
  10. Avisar si el tráfico de red se produce desde la fuente o hacia una fuente en la lista de enlaces maliciosos publicada por TRCERT - Turquía - Equipo de respuesta ante emergencias informáticas
  11. Si alguien configura un servidor DHCP en su red o si una pasarela diferente difunde, para averiguar esto: advierta si se produce un tráfico desde adentro hacia afuera o desde afuera hacia adentro cuyo protocolo es UDP, el puerto de destino es 67 y el destino IP no está en la lista de IP registrados.
  12. Avisar si se produce un escaneo de IP.
  13. Avisar si se produce un ataque de SQL a través del servidor web.
  14. Avisar si se accede a los servidores fuera de las horas.
  15. Avisar si el mismo usuario intenta más de tres intentos de inicio de sesión fallidos en diferentes máquinas en un minuto.
  16. Avisar si un ataque seguido de un cambio de cuenta
  17. Avisar si escaneo seguido de un ataque
  18. Detecta una condición inusual en la que una fuente tiene fallas de autenticación en un host pero no es seguida por una autenticación exitosa en el mismo host dentro de 2 horas
  19. Busque una nueva cuenta que se está creando seguida de una actividad de autenticación inmediata desde esa misma cuenta que detectaría la creación de la cuenta de puerta trasera, seguida de la cuenta que se está usando para enviar telnet nuevamente al sistema
  20. Supervise la misma fuente con errores de inicio de sesión excesivos en hosts distintos,
  21. Compruebe si la fuente de un ataque era antes el destino de un ataque (dentro de los 15 minutos)
  22. Verifique si hay 5 eventos de firewalls de host con gravedad 4 o superior en 10 minutos entre la misma IP de origen y de destino
  23. Busque una nueva cuenta que se está creando, seguida en breve por la actividad de falla de acceso / autenticación desde la misma cuenta
  24. Supervisar el acceso al sistema fuera del horario comercial
respondido por el Jigar Lad 22.12.2015 - 16:19
fuente

Lea otras preguntas en las etiquetas