OSSEC – przykładowe raporty i alarmy

Zapoznaj się z usługami Software as a Service (SaaS) Open Audit

Wdrażanie zabezpieczeń przedziwdziałających aktywności cyyb erptrzestępcom to podstawa ochrony zasobów w firmach. Stosowane są w większej lub mniejszej skali systemy ochrony IDS / IPS ale rzadziej spotykane są systemy działające w trybie HIDS (Host Intrusion Detection System). Na tej stronie można znaleźć informację o wspieranym przez nas rozwiązaniu opartym o opensource, które wykrywa zmiany w systemach operacyjnych mogących wynikać z działalności cyberprzestępców. Rozwiązanie to polega na monitorowaniu systemów poprzez zastosowanie rozwiązań weryfikujących integralność systemów, plików czy danych. Nasze prace realizujemy wykorzystując narzędzie OSSEC.

Przedstawimy tu przykładowych kilka alertów, które zapisaliśmy w naszym testowym labolatorium.

Alarm nr 7 „Listened ports status (netstat) changed”: Przedstawia wykrytą możliwość ataku, w czasie której została uruchomiona dodatkowa usługa (np . rootkit), która spowodowała otwarcie kolejnego portu. Analiza wykazała, że otwarty port został dodany w wyniku standardowych prac na serwerze, ale zostaliśmy poinformowani, że takie działanie miało miejsce. Zabezpieczenie wykrywa działalność administratora, który może działać niezgodnie z procedurami.

Alarm nr 3 „Login session closed”: Zamknięta sesja super-użytkownika „root” w systemie Linux. Nie trzeba nikogo przekonywać, że aktywność tego użytkownika systemowego wymaga wyjątkowego trybu monitorowania. Pytanie. Co robił administrator systemu w tym czasie?

Open-Audit.eu-ossec-report-root-login-sessionAlarm nr 8 „User account changed”: Wiadomo, że konto GOŚĆ jest wykorzystywane przy dostępie do systemu w sposób nieautoryzowany. Konto to też może być wyjściowe do realizacji testów zmierzających do zwiększenia uprawnień, dlatego, każda operacja na tym koncie powinna być rejestrowana. W tym przypadku, system zaraportował zmianę uprawnień konta GOŚĆ, co w warunkach korporacyjnych powinno być co najmniej zastanawiające.

Open-Audit.eu-ossec-report-user-guest-account-changedAlarm nr 3 „User first time this user logged in this system”: Komunikat informujący o pierwszym logowaniu użytkownika do systemu. Kolejna aktywność, którą powinno się monitorować gdyż logowanie mogło nastąpić w skutek kompromitacji konta.

Open-Audit.eu-ossec-report-user-first-login