Detectar ataques de aplicaciones web analizando los archivos de registro [duplicado]

Question

Detectar ataques de aplicaciones web analizando los archivos de registro [duplicado]

#1 de dtb_pen (2 votos)

1

Siguiendo esta pregunta, ya que las respuestas tienen ahora 5 años: ¿Puedo detectar ataques de aplicaciones web? ¿Viendo mi archivo de registro de Apache?

Mi jefe me ha encargado analizar nuestros archivos access.log y error.log después de un intento de ataque de inyección de mySQL la semana pasada. Es bastante obvio cuando se ven los registros a mano, pero nos gustaría algo automatizado (ya sea un servicio o una tarea que pueda ejecutarse regularmente a través de cron) que detectará patrones de ataque.

Estamos usando nginx, pero eso no debería importar porque los registros están en formato estándar. ¿Alguna sugerencia sobre los programas que hacen este tipo de análisis de registro? No me importa el análisis de tráfico estándar que hacen los programas como Webalyzer.

Además, para aquellos de ustedes que realizan este tipo de detección y análisis de ataques, ¿qué patrones está buscando en sus archivos de registro aparte de una cantidad de tráfico mayor a la normal?

También, ¿te fijas en access.log y error.log o solo en uno?

web-application attacks detection log-analysis

pregunta Rick Chatham 11.03.2015 - 17:55

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application attacks detection log-analysis

¿Cuál es la diferencia entre unidades certificadas y no certificadas para Windows To Go? Recuperar credenciales anónimas

score 2 · Accepted Answer

Depende de si vas a obtener un presupuesto o no para hacer esto. Bienvenido al mundo de IDS / IPS y SIEMs.

Mi herramienta favorita que utilicé como pasante y que aún uso es OSSEC HIDS (Sistema de detección de intrusiones basado en host de seguridad de código abierto).

Es una herramienta de código abierto realmente dulce si solo necesita un pequeño grupo de hosts monitoreados y no tiene los fondos para contratar a un equipo completo de SOC o el presupuesto para un SIEM gigante y totalmente compatible como FireEye o ArchSight. Puedes escribir bastante tus propias reglas (en XML) y te permite generar alertas basadas en esas reglas. También establece las rutas de directorio que desea monitorear (es decir, var / adm / log o / var / syslog, etc.).

Para una interfaz de usuario, puede utilizar la interfaz de usuario web de OSSEC y alojarla en un servidor con apache. Además, deberá saber lo que está buscando para escribir las reglas, pero hay trucos al respecto. Puede establecer reglas para buscar la palabra "error" que aparece más de 3 veces en 60 segundos para generar una alerta (solo un ejemplo).

Espero que ayude.