نوشته‌شده در

چگونه IDS ها و سیاهههای مربوط به فایروال جمع شده و ورود به سیستم به SIEM اضافه شده است؟

نحوه جمع آوری / ذخیره سیاههها بستگی به مورد استفاده است که شما SIEM خود و معماری استقرار را مستقر کرده اید.

یک SIEM معمولی موارد زیر را برای شما ارائه خواهد داد:

  1. Log Collection
  2. Log Retension [19659004] ورود به سیستم تجزیه و تحلیل
  3. رویداد همبستگی
  4. ورود به سیستم قانونی
  5. IT مطابق
  6. زمان واقعی هشدار
  7. نظارت بر فعالیت کاربر
  8. نظارت بر یکپارچگی فایل
  9. و غیره.

سناریوی استقرار نیز می تواند متنوع باشد و بستگی به مقیاس / دامنه استقرار و نحوه گردآوری داده ها نیز به این سناریو بستگی دارد. به عنوان مثال می توان بعضی از موارد زیر را ذکر کرد:

  • جمع آوری ورودی ها را در مکان های منبع و سرور مرکزی مجله برای ذخیره کردن سیاهههای مربوطه. سپس فقط سیاهههای مربوط به امنیت را به پایگاه داده SIEM ارسال کنید – فقط سیاهههای مربوطه در پایگاه داده SIEM ذخیره خواهند شد و استراحت در سرور log log central خواهد بود

  • جمع آوری، ذخیره و پردازش کل سیاهههای مربوط در پایگاه داده SIEM – که در آن کل سیاهههای مربوط در SIEM ذخیره می شود

یک سیاهه جمع آوری و پردازش برای هر تامین کننده SIEM منحصر به فرد است زیرا اکثر آنها اتصالات / قالب های خود (یا فرمت های پشتیبانی شده پشتیبانی) برای منابع / همه فروشندگان SIEM شما لیستی از دستگاه های پشتیبانی شده و هر وسیله ای را که در این لیست نیست به صورت دستی متصل می شوند، ارائه می دهند، جایی که تامین کننده SIEM ممکن است به شما در تهیه پیش نویس اتصال خود کمک کند.

شما ممکن است لینک های زیر را برای فروشنده SIEM پشتیبانی کنید لیست دستگاه ها (اتصال ها به راحتی در دسترس هستند):

https://www.scribd.com/document/60264371/LogRhythm-Supported-Products-List

اکثر تامین کنندگان SIEM راه خود را برای ذخیره سازی سیاهههای مربوط (داده ها فرمت به ساختار جدول ممکن است متفاوت باشد) بسیاری از آنها سیاهه های دریافت شده را پردازش می کنند و تبدیل به ساختار می شوند که پلتفرم اصلی آن می تواند درک کند.

اتصال دهنده ها / قالب های مذکور برای تبدیل فرمت منبع بومی به فرمت قابل درک SIEM مورد استفاده قرار می گیرند

امیدوارم این نگرانی شما را روشن کند …

نوشته‌شده در

ids – Snort با IDSWakeup کار نمی کند

نصب Snort را با قوانین ثبت شده کاربر نصب کردم.
من ابتدا با استفاده از قانون زیر در local.rules تست کردم: 

 alert icmp any -> $ HOME_NET هر (msg: "ICMP test"؛ sid: 10000001؛ rev: 001؛)

این قانون خوب کار می کند و من یک قانون TCP را آزمایش کردم که همچنین کار می کرد.

مشکل من این است که من منتظر می ماندم تا خروجی تولید کند
snort-کنسول -q -i eno16780032 -u snort -g snort -k هیچیک -c /etc/snort/snort.conf run

باز هم من می توانم خروجی را از قانون ICMP من ببینم در local.rules، من فقط می توانید چیزی را نمی بینم زمانی که من اجرا ./ IDSwakeup 127.0.0.1 xxx.xxx.xxx.xxx 1 1 از یک کامپیوتر دیگر. (تمام مقررات در بخش 7 بدون توضیح، بخش 8 و 9 به نظر می رسد)

نوشته‌شده در

ids – آیا باید قوانین را اضافه کنم در قوانین ثبت شده snort؟

من تست snort در برابر قوانین pytbull. من با استفاده از pulledpork و snort 2.9.9.0، به عنوان نتایج آزمون من هیچ تشخیص lfi و تمام آزمون حکومت، من 31056 قوانین فعال (VRT (comunity، ثبت نام) ، ET) وقتی که من در جستجوی قوانینی هستم که با آن قوانین مطابقت ندارم، آن را پیدا نمی کنم.
 سوال من این است که آیا باید قواعدی را اضافه کنم که در فایل قوانین فعال شده توسط pulledpork یافت نشد؟ (من تست کردم تا آخرین قوانین ثبت شده snort را به صورت دستی دانلود کنم و وقتی این کار انجام شد، من این قوانین را پیدا نمی کنم (web-misc / etc / passwd و دیگران)

نوشته‌شده در

ids – Suricata امضا نیست

من از سوریکاتا با اسکنرهای جدید و قوانین دیگر استفاده می کنم، قوانین در suricata.yaml بارگذاری می شوند، homenet و ext_net به درستی پیکربندی شده اند.
 برای تست تشخیص سوریکاتا از nmap -sS در دستگاهی استفاده کردم که در آن sudicata نصب شده بود و من هیچ تشخیصی نداشتم.
 برای nmap -sS قوانین استفاده شده در scan.rules alert tcp $ EXTERNAL_NET هر -> $ HOME_NET هر (msg: "ET SCAN NMAP -sS window 2048"؛ fragbits:! D؛ dsize: 0؛ پرچم ها: S، 12؛ ack: 0؛ پنجره: 2048؛ آستانه: نوع هر دو، track by_dst، count 1، seconds 60؛ مرجع: url؛ doc.emergingthreats.net / 2000537؛ class style: attempt-recon؛ sid: 2000537؛ rev: 8؛ metadata: created_at 2010_07_30، updated_at 2010_07_30؛)

alert ip $ EXTERNAL_NET هر -> $ HOME_NET هر (msg: "ET SCAN NMAP -sO"؛ dsize: 0؛ ip_proto: 21؛ آستانه: نوع هر دو، track by_dst، count 1، ثانیه 60؛ مرجع: url، doc.emergingthreats.net / 2000536؛ رده بندی: attempted-recon؛ sid: 2000536؛ rev: 7؛ metadata: created_at 2010_07_30؛ updated_at 2010_07_30؛)

alert tcp $ EXTERNAL_NET any – $ HOME_NET هر کدام (msg: "ET SCAN NMAP -sS window 1024"؛ fragbits:! D؛ dsize: 0؛ flags: S؛ 12؛ ack: 0؛ window: 1024؛ threshold: type both، track by_dst، count 1، ثانیه 60؛ مرجع: url، doc.emergingthreats.net / 2009582؛ کلاس: تلاش برای بازسازی؛ sid: 2009582؛ rev: 3 ؛ metadata: created_at 2010_07_30، updated_at 2010_07_30؛)

alert tcp $ EXTERNAL_NET any -> $ HOME_NET هر کدام (msg: "ET SCAN NMAP -sS window 3072"؛ fragbits:! D؛ dsize: 0؛ flags: S، 12؛ ack: 0؛ window: 3072؛ آستانه: نوع هر دو، track by_dst، count 1، seconds 60؛ reference: url، doc.emergingthreats.net / 2009583؛ class style: attempt-recon؛ sid: 2009583؛ rev: 3؛ metadata: create_at 2010_07_30، updated_at 2010_07_30؛)

alert tcp $ EXTERNAL_NET any -> $ HOME_NET هر کدام (msg: "ET SCAN NMAP -sS window 4096"؛ fragbits:! D؛ dsize: 0؛ flags: S، 12؛ ack: 0؛ پنجره: 4096؛ آستانه: نوع هر دو، مسیر by_dst، شمارش 1، ثانیه 60؛ مرجع: url، doc.emergingthreats.net / 2009584؛ کلاس: attempted-recon؛ sid: 2009584؛ rev: 2؛ metadata: created_at 2010_07_30 ، updated_at 2010_07_30؛)