Pemantauan Integritas File dan SIEM

[ad_1]

Memerangi Ancaman Zero Day dan Malware Modern yang dilupakan oleh Sistem Anti-Virus

pengantar

Sudah diketahui bahwa teknologi Anti-Virus dapat salah dan akan terus demikian oleh desain. Lansekap (Threatscape?) Selalu berubah dan sistem AV biasanya akan memperbarui repositori tanda tangan malware mereka setidaknya sekali sehari dalam upaya untuk mengikuti ancaman baru yang telah diisolasi sejak pembaruan sebelumnya.

Jadi seberapa aman organisasi Anda? 80%? 90%? Karena jika Anda mengandalkan pertahanan anti-virus tradisional, ini adalah hal terbaik yang dapat Anda capai tanpa Anda menerapkan lapisan pertahanan tambahan seperti FIM (pemantauan integritas file) dan SIEM (analisis log peristiwa).

Teknologi Anti-Virus – Lengkap Dengan Bintik-bintik Buta Malware

Setiap perangkat lunak Anti Virus memiliki kelemahan yang melekat pada relai di pustaka tanda & # 39; malware & # 39; untuk mengidentifikasi virus, Trojan, dan cacing yang ingin dihapus.

Repositori signature malware ini diperbarui secara berkala, terkadang beberapa kali sehari tergantung pada pengembang perangkat lunak yang digunakan. Masalahnya adalah bahwa pengembang AV biasanya perlu memiliki pengalaman langsung dari setiap jenis malware baru untuk menangkal mereka. Konsep hari & # 39; nol & # 39; ancaman adalah salah satu yang menggunakan varian malware baru yang belum diidentifikasi oleh sistem AV.

Menurut definisi, sistem AV buta untuk & # 39; nol hari & # 39; ancaman, bahkan sampai titik di mana versi baru dari strain malware yang ada mungkin dapat menghindari deteksi. Malware modern sering menggabungkan sarana untuk bermutasi, memungkinkannya untuk mengubah rias wajahnya setiap kali itu diperbanyak dan dengan demikian meningkatkan efektivitasnya dalam menghindari sistem AV.

Teknologi keamanan serupa lainnya, seperti kotak pasir atau pendekatan karantina, yang bertujuan untuk memblokir atau menghapus malware, semuanya menderita dari titik buta yang sama. Jika malware itu masih baru – ancaman zero day – maka dengan definisi tidak ada tanda tangan karena belum diidentifikasi sebelumnya. Kenyataan yang tidak menguntungkan adalah bahwa maya-musuh yang tak terlihat juga tahu bahwa yang baru adalah yang terbaik jika mereka ingin malware mereka untuk menghindari deteksi. Ini terbukti dengan fakta bahwa lebih dari 10 juta sampel malware baru akan diidentifikasi dalam jangka waktu 6 bulan.

Dengan kata lain kebanyakan organisasi biasanya memiliki pertahanan yang sangat efektif terhadap musuh yang dikenal – setiap malware yang telah diidentifikasi sebelumnya akan dihentikan mati di jalurnya oleh IPS, sistem anti-virus, atau pemfilteran web / mail lainnya dengan teknologi kotak pasir. Namun, juga benar bahwa mayoritas organisasi yang sama ini memiliki sedikit atau tidak ada perlindungan terhadap ancaman zero day.

Pemantauan Integritas File – Sistem Pertahanan Anti-Virus Baris ke-2 untuk Saat Sistem Anti-Virus Anda Gagal

Pemantauan Integritas File berfungsi untuk mencatat setiap perubahan pada sistem file yaitu file sistem operasi inti atau komponen program. Dengan cara ini, malware yang memasuki platform server utama Anda akan terdeteksi, tidak peduli seberapa halus atau tersembunyi serangan itu.

Selain itu, Teknologi FIM juga akan memastikan kerentanan lainnya disaring dari sistem Anda dengan memastikan praktik terbaik dalam konfigurasi Sistem Operasi Anda yang aman telah diterapkan.

Misalnya, pengaturan konfigurasi apa pun seperti akun pengguna, kebijakan kata sandi, layanan dan proses yang berjalan, perangkat lunak yang terinstal, fungsi manajemen dan pemantauan adalah semua vektor potensial untuk pelanggaran keamanan. Di lingkungan Windows, Kebijakan Keamanan Lokal Windows telah diperpanjang secara bertahap dari waktu ke waktu untuk menyertakan pembatasan yang lebih besar untuk berbagai fungsi yang telah dieksploitasi di masa lalu tetapi ini sendiri adalah area yang sangat kompleks untuk dikonfigurasi dengan benar. Untuk kemudian mempertahankan sistem dalam keadaan terkonfigurasi aman ini tidak mungkin tanpa teknologi pemantauan integritas file otomatis.

Demikian pula SIEM atau Informasi Keamanan dan sistem Manajemen Peristiwa dirancang untuk mengumpulkan dan menganalisis semua jejak audit sistem / log peristiwa dan menghubungkannya dengan informasi keamanan lainnya untuk menyajikan gambaran yang benar tentang apakah sesuatu yang tidak biasa dan berpotensi mengancam keamanan sedang terjadi.

Ia mengatakan bahwa standar keamanan yang diadopsi dan dipraktekkan secara luas seperti PCI DSS menempatkan elemen-elemen ini pada intinya sebagai sarana untuk menjaga keamanan sistem dan memverifikasi bahwa proses kunci seperti Manajemen Perubahan sedang diamati.

Ringkasan

Teknologi anti-virus adalah lini pertahanan yang penting dan sangat berharga untuk organisasi apa pun. Namun, sangat penting bahwa keterbatasan dan oleh karena itu kerentanan teknologi ini dipahami dan lapisan keamanan tambahan diimplementasikan untuk dikompensasi. File Integrity Monitoring dan Event Log Analysis adalah mitra yang ideal untuk sistem Anti-Virus untuk memberikan keamanan lengkap terhadap ancaman malware modern.

[ad_2]

Nagios Log Monitoring – Memantau File Log di Unix Secara Efektif

[ad_1]

Nagios Log File Monitoring: Memonitor file log menggunakan Nagios bisa sama sulitnya dengan aplikasi pemantauan lainnya. Namun, dengan Nagios, setelah Anda memiliki skrip atau alat pemantauan log yang dapat memantau file log tertentu seperti yang Anda inginkan, Nagios dapat diandalkan untuk menangani sisanya. Jenis keserbagunaan inilah yang menjadikan Nagios sebagai salah satu aplikasi pemantauan paling populer dan mudah digunakan yang ada di luar sana. Ini dapat digunakan untuk memantau apa pun secara efektif. Secara pribadi, saya menyukainya. Tidak ada bandingannya!

Nama saya Jacob Bowman dan saya bekerja sebagai spesialis Pemantauan Nagios. Saya telah menyadari, mengingat jumlah permintaan yang saya terima di pekerjaan saya untuk memantau file log, bahwa pemantauan file log adalah masalah besar. Departemen TI memiliki kebutuhan berkelanjutan untuk memantau file log UNIX mereka untuk memastikan bahwa aplikasi atau masalah sistem dapat ditangkap tepat waktu. Ketika masalah diketahui, gangguan yang tidak terencana dapat dihindari sama sekali.

Tetapi pertanyaan umum yang sering ditanyakan oleh banyak orang adalah, aplikasi pemantauan apa yang tersedia yang dapat secara efektif memonitor file log? Jawaban polos untuk pertanyaan ini TIDAK ADA! Aplikasi pemantauan log yang ada membutuhkan terlalu banyak konfigurasi, yang pada dasarnya membuat mereka tidak layak dipertimbangkan.

Pemantauan log harus memungkinkan untuk argumen yang dapat dicolok pada baris perintah (bukan dalam file konfigurasi terpisah) dan harus sangat mudah bagi pengguna UNIX rata-rata untuk dipahami dan digunakan. Kebanyakan alat pemantauan log tidak seperti ini. Mereka sering kompleks dan membutuhkan waktu untuk membiasakan diri (melalui membaca halaman pemasangan setup tanpa henti). Menurut saya, ini adalah masalah yang tidak perlu yang dapat dan harus dihindari.

Sekali lagi, saya sangat percaya, agar efisien, seseorang harus dapat menjalankan program langsung dari baris perintah tanpa perlu pergi ke tempat lain untuk mengedit file konfigurasi.

Jadi solusi terbaik, dalam banyak kasus, adalah menulis alat pemantauan log untuk kebutuhan khusus Anda atau mengunduh program pemantauan log yang telah ditulis untuk jenis lingkungan UNIX Anda.

Setelah Anda memiliki alat pemantauan log, Anda dapat memberikannya kepada nagios untuk dijalankan kapan saja, dan nagios akan menjadwalkannya untuk ditendang secara berkala. Jika setelah menjalankannya pada interval yang ditetapkan, Nagios menemukan masalah / pola / string yang Anda beri tahu untuk diperhatikan, ia akan memperingatkan dan mengirimkan pemberitahuan kepada siapa pun yang Anda inginkan.

Tetapi kemudian Anda bertanya-tanya, jenis alat pemantauan log apa yang harus Anda tulis atau unduh untuk lingkungan Anda?

Program pemantauan log yang harus Anda peroleh untuk memantau file log produksi Anda harus sesederhana seperti di bawah ini tetapi masih harus tetap sangat serbaguna:

Contoh: logrobot / var / log / messages 60 'error' 'panic' 5 10 -foundn

Output: 2 — 1380 — 352 — ATWF — (Mar / 1) – (16:15) — (Mar / 1) – (17:15:00)

Penjelasan:

Opsi "-foundn" mencari / var / log / messages untuk string "error" dan "panic". Setelah menemukannya, itu akan membatalkan dengan 0 (untuk OK), 1 (untuk PERINGATAN) atau 2 (untuk KRITIS). Setiap kali Anda menjalankan perintah itu, itu akan memberikan laporan statistik satu baris yang mirip dengan yang ada di Output di atas. Kolom dibatasi oleh "—".

Bidang 1 adalah 2 = yang artinya, ini sangat penting.

Bidang kedua adalah 1380 = jumlah detik sejak string yang Anda tentukan terakhir terjadi di log.

Bidang ke-3 adalah 352 = ada 352 kemunculan string "kesalahan" dan "panik" yang ditemukan di log dalam 60 menit terakhir.

Bidang ke-4 adalah ATWF = Jangan khawatir tentang ini untuk saat ini. Tidak relevan.

5 dan 6 berarti bidang = File log dicari dari (Mar / 1) – (16:15) sampai (Mar / 1) – (17:15:00). Dan dari data yang dikumpulkan dari jangka waktu tersebut, 352 kejadian "kesalahan" dan "panik" ditemukan.

Jika Anda benar-benar ingin melihat semua 352 kejadian, Anda dapat menjalankan perintah di bawah ini dan meneruskan opsi "-show" ke alat logrobot. Ini akan menampilkan ke semua garis yang cocok di log yang berisi string yang Anda tentukan dan ditulis ke log dalam 60 menit terakhir.

Contoh: logrobot / var / log / messages 60 'error' 'panic' 5 10 -show

Perintah "-show" akan menampilkan ke layar semua garis yang ditemukan dalam file log yang berisi string "kesalahan" dan "panik" dalam jangka waktu 60 menit terakhir yang Anda tentukan. Tentu saja, Anda selalu dapat mengubah parameter agar sesuai dengan kebutuhan khusus Anda.

Dengan alat Pemantauan Log Nagios (logrobot) ini, Anda dapat melakukan sihir yang nama besar aplikasi pemantauan terkenal tidak bisa mendekati kinerja.

Setelah Anda menulis atau mengunduh skrip atau alat pemantauan log seperti yang disebutkan di atas, Anda dapat memiliki Nagios atau CRON menjalankannya secara rutin yang pada gilirannya akan memungkinkan Anda untuk tetap melihat burung pada semua aktivitas login dari server penting Anda.

Apakah Anda harus menggunakan nagios untuk menjalankannya secara rutin? Benar-benar tidak. Anda dapat menggunakan apa pun yang Anda inginkan.

[ad_2]

Pemantauan Var Log Pesan di Linux – Monitor File Log Anda Secara Efektif

[ad_1]

Memonitor file pesan var log: Apakah Anda ingin memonitor file / var / log / messages di server Linux Anda?

Apa sebenarnya artinya memonitor file / var / log / messages pada server Linux? Anda lihat, ada berbagai kesalahan dan insiden yang mungkin ingin ditonton oleh banyak pengguna Linux dalam file pesan log var mereka. Dan sementara ekor dan grep yang sederhana dapat mengisolasi pesan yang diinginkan dengan sangat cepat dan mudah, sering ada saatnya ketika sesuatu yang lebih canggih dibutuhkan. Sesuatu yang lebih bisa dikontrol.

Katakanlah misalnya ada krisis di pekerjaan Anda (seperti server crash) dan Anda harus segera melihat file log sistem untuk kesalahan atau pesan tertentu yang akan memberi tahu Anda tentang apa yang terjadi. Apa yang akan Anda lakukan dalam situasi itu? Anda sudah panik. Berapa banyak ekor dan greps yang akan Anda jalankan sebelum Anda menjadi gila?

Bagaimana jika ada perintah pemantauan log yang dapat Anda jalankan yang akan mengambil informasi yang Anda butuhkan berdasarkan kerangka waktu?

Katakanlah Anda mengalami crash server dan petinggi di kantor Anda sedang bernapas ke bawah leher Anda untuk jawaban tentang mengapa server turun.

Dalam hal ini, Anda dapat menjalankan ke / var / log / messages file (atau file log sistem UNIX) dan menjalankan perintah seperti yang di bawah ini di mana Anda dapat memilih untuk menarik semua baris dari file log yang memiliki string "kesalahan" dan "panik" di dalamnya, dan itu terjadi dalam 60 menit terakhir. Kerangka waktu 60 menit tentu saja dapat disesuaikan agar sesuai dengan jangka waktu apa pun yang Anda perlukan.

Sintaksis: logrobot (log-file) (menit-ke-pencarian) (string-ke-pencarian1) (string-ke-search2) (aksi) (peringatan) (kritis).

Contoh: logrobot / var / log / messages 60 'error' 'panic' -show 5 10

Baris kode sederhana ini akan menghemat banyak sakit kepala dan dalam beberapa kasus, itu juga akan menyelamatkan Anda pekerjaan Anda.

[ad_2]