Настройка auditd для обнаружения и расследования инцидентов информационной безопасности
Одной из важных составляющих информационной безопасности инфраструктуры компании является SIEM - система управлением событиями и информацией безопасности. Такую систему можно условно поделить на 2 основные части — подсистему сбора событий и подсистему анализа полученных событий. Правильная настройка первой поможет обнаружить вторжение на ранних этапах проникновения, облегчит написание событий тревоги (алертов), а если вас всё-таки взломали, то позволит разобраться, как и почему это произошло, какие действия выполняли злоумышленники. Основным инструментом для сбора системных событий в линукс-системах является auditd. На основе этого инструмента созданы и другие, например, auditbeat, go-audit, которые дополняют основной функционал auditd. Поэтому, разобравшись с основными принципами работы базового инструмента, вам не составит труда воспользоваться и всеми остальными.
Структура статьи:
- Краткое знакомство с инструментом: общее описание auditd, плюсы и минусы, синтаксис;
- Принципы написания правил: практические советы по специфике инструмента, которые позволят делать меньше ошибок при работе с ним;
- Как тестировать правила: порядок действий, который позволит внедрить наборы правил в инфраструктуру любого размера;
- Алгоритм тестирования правил: упорядоченный список действий для проверки отдельно каждого правила и фильтров к нему;
- Модель угроз: как рассматривать систему с точки зрения атакующего, чтобы ничего не забыть;
- Пример: применяем полученные знания на практике.
Читать далееИсточник: Хабрахабр
Похожие новости
- [Перевод] Бэкдор в основной версии xz/liblzma, ведущий к компрометации SSH-сервера
- Раскрываем секретные функции: магия макросов в Burp Suite
- AITU Military CTF 2024: История о том, как мой сон привел к поднятию киберполигона в стенах моего университета. Часть 1
- Объявлены победители RUWARD AWARD 2024
- Виртуальное повышение. Эскалируем привилегии в VirtualBox
- Сила шифрования или как я выявил недостаток работы Defender’а
- Джентльменский набор OSINT
- Памяти Кевина Митника — хакера, ломавшего ФБР, АНБ и Кремниевую долину. Часть 5: призрачный номер и загадочный хакер
- Погружаемся в PEB. DLL Spoofing
- Децентрализованное доверие. 1. Гипотеза