ビジネスでログ分析をどのように処理しますか?
自動または半自動(例外とアラートを確認する必要があります)のいずれかで、サーバーログで例外とアラートを見つける良い方法を確立したいと思います。
この機能は通常IDS/IPSによって処理されますか?
現在、Webサーバー、データベース、syslogなどからすべてのログデータを Splunk に収集しています。Splunkダッシュボードを作成して、奇妙で非正常なログエントリを表示することを検討しています。これは正しい方法ですか?
[〜#〜] ossec [〜#〜] は素晴らしい [〜#〜] foss [〜#〜] ログイベントの数を減らすのに効果的なHIDSあなたは何かをチェックアウトする必要があります潜在的に管理可能です。
あなたが言及したすべてのログソースをサポートしています: http://www.ossec.net/main/supported-systems
OSSECが1日に発するすべてのアラートをすばやく「毎日チェック」できる社内アプリを作成しました。通常、完全なクリアを呼び出すか、インシデント調査を開始するのにかかる時間は20分未満です。 1つの環境では、1日あたり約70,000のOSSECアラートを受信しますが、ほとんどのアラート/イベントは、ログシステムをスパムする認証イベントまたはアプリエラーのクラスターです。次に例を示します。
Splunkを使用しているので、Splunk + OSSEC統合を実行できます。 http://www.ossec.net/main/splunk-ossec-integration
先日、いくつかのエンタープライズSIEMが動作しているのを見ました–異常またはまれなログイベントの詳細を示す定型のレポートがないようだと知って、私は驚きました。珍しいイベントやまれなイベントは、多くの場合、何か悪いことを示す最良の指標であり、リードが冷めるまで追跡するイベントの短いリストとして役立ちます。
また、セカンダリログアナライザーとして Logwatch を使用します。
この機能は通常、SIMまたはSIEMソリューションを利用して実現されます。これらのCA、ArcSight、Loglogic、splunkなどの一般的なベンダーがいくつかあります。
ログを収集し、アラートについて通知を受け、ルールの相関に基づいてアクションを実行できます。すべての可能なソース、データベース、Unix、Windows、ファイアウォールなどからログを収集できます。
多くの場合、方法は規模や場所によって異なります。たとえば、企業の境界ロギングは通常、内部のアラートチームが対応するには多すぎるため、これは通常、関連するアラートを渡す管理サービスサプライヤーの1つに外部委託されます。
小規模な組織、または特定のホストロギングの場合、問題ははるかに管理しやすくなりますが、アラートプロセスのトレーニングと調整の方法を検討する必要があります。 Splunkや他の人が仕事をしますが、最初の数週間の間に、ログに記録された環境のアップグレードや変更、攻撃プロファイルの変更、そして実際には継続的に行う必要があるリソースの量を計画する必要があります時間。
それが済むと、通常のメカニズムは署名ベースのアラートと統計アラートの両方を使用することです-署名は高速で、サービスプロバイダーが更新できるため、少ない労力で済みますが、作成する必要があるため、通常、新しいタイプの攻撃を識別しません。一方、統計アラートはロギングの変更に応答します。そのため、調整するまで、誤検知で過負荷になる可能性があります。
セキュリティの観点から(ログをチェックする価値のある他の多くのものがあります)、ログは期待どおりにセキュリティが機能している場所のみを確実に表示します。誰かがセキュリティ対策を迂回した場合、それはおそらくログによって検出されないでしょう/ログは危険にさらされているかもしれません-そのためそれらは限定的に使用されます。
また、違反の可能性についてログを分析するメカニズムを構築できる場合は、ほとんどの場合、違反が発生するのを待つのではなく、ポリシーを適用するのと同じくらい簡単です。
ログ分析は、ホストベースのファイル整合性チェッカー(ふた、トリップワイヤーなど)に代わるものではありません
そうは言っても、必要に応じて fail2ban を使用することをお勧めします。
また、ログ分析では、少なくともファイルの整合性が変更されたかどうかという点で、組織の変更管理ルーチン、より具体的にはソフトウェア/ハードウェアの更新プロセスを考慮する必要があります。