Detectar ataques de aplicaciones web analizando los archivos de registro [duplicado]

1

Siguiendo esta pregunta, ya que las respuestas tienen ahora 5 años:    ¿Puedo detectar ataques de aplicaciones web? ¿Viendo mi archivo de registro de Apache?

Mi jefe me ha encargado analizar nuestros archivos access.log y error.log después de un intento de ataque de inyección de mySQL la semana pasada. Es bastante obvio cuando se ven los registros a mano, pero nos gustaría algo automatizado (ya sea un servicio o una tarea que pueda ejecutarse regularmente a través de cron) que detectará patrones de ataque.

Estamos usando nginx, pero eso no debería importar porque los registros están en formato estándar. ¿Alguna sugerencia sobre los programas que hacen este tipo de análisis de registro? No me importa el análisis de tráfico estándar que hacen los programas como Webalyzer.

Además, para aquellos de ustedes que realizan este tipo de detección y análisis de ataques, ¿qué patrones está buscando en sus archivos de registro aparte de una cantidad de tráfico mayor a la normal?

También, ¿te fijas en access.log y error.log o solo en uno?

    
pregunta Rick Chatham 11.03.2015 - 17:55
fuente

1 respuesta

2

Depende de si vas a obtener un presupuesto o no para hacer esto. Bienvenido al mundo de IDS / IPS y SIEMs.

Mi herramienta favorita que utilicé como pasante y que aún uso es OSSEC HIDS (Sistema de detección de intrusiones basado en host de seguridad de código abierto).

Es una herramienta de código abierto realmente dulce si solo necesita un pequeño grupo de hosts monitoreados y no tiene los fondos para contratar a un equipo completo de SOC o el presupuesto para un SIEM gigante y totalmente compatible como FireEye o ArchSight. Puedes escribir bastante tus propias reglas (en XML) y te permite generar alertas basadas en esas reglas. También establece las rutas de directorio que desea monitorear (es decir, var / adm / log o / var / syslog, etc.).

Para una interfaz de usuario, puede utilizar la interfaz de usuario web de OSSEC y alojarla en un servidor con apache. Además, deberá saber lo que está buscando para escribir las reglas, pero hay trucos al respecto. Puede establecer reglas para buscar la palabra "error" que aparece más de 3 veces en 60 segundos para generar una alerta (solo un ejemplo).

Espero que ayude.

    
respondido por el dtb_pen 11.03.2015 - 21:41
fuente

Lea otras preguntas en las etiquetas