Revisión del registro del servidor de seguridad [cerrado]

1

Tenemos un servidor Kiwi Syslog para fines de registro centralizado.
Actualmente, nuestro enfoque es solo en el monitoreo, revisión e informe de violaciones de cuentas de usuario / contraseñas.

Ya usamos los filtros necesarios basados en el ID de evento en este enlace - enlace .

Ahora, nuestra pregunta es aunque ya estamos recibiendo las alertas. ¿Cómo identificamos alertas como la Id. De evento de Windows 4625 - "Una cuenta que no se pudo iniciar sesión" está relacionada con un ataque / violación de seguridad, o si solo son alertas falsas?

    
pregunta Boy 02.07.2015 - 17:04
fuente

1 respuesta

0

Si realmente necesita distinguir entre incidentes de seguridad reales y falsos positivos, puede crear una solución que implemente algoritmos de clasificación de Bayes y capacitarla adecuadamente. Dicho clasificador debe analizar tantos datos de entrada como sea posible, y "puntuar" ciertos eventos, comportamientos, etc., a puntos positivos y negativos. Ej .:

  • primer error de autenticación de contraseña en un rango de tiempo determinado - > +20

  • otro error de autenticación de contraseña en el mismo intervalo de tiempo - > +20

  • error de autenticación de contraseña para diferentes usuarios - > +40

  • autenticación de contraseña exitosa en 2 minutos desde el primer intento fallido - > -50

  • autenticación de contraseña exitosa para diferentes usuarios - > +35

Entonces puedes definir umbrales, por ejemplo. más de 70 puntos dará como resultado una alerta por correo electrónico, etc.

    
respondido por el Tomasz Klim 03.07.2015 - 01:49
fuente

Lea otras preguntas en las etiquetas