Обнаружение сканирования портов с использованием Spunk
Я настроил сервер журналов с запущенной на нем Splunk. я пинговал одного из клиентов, используя backtrack.... Это также генерирует журнал, который посылается серверу журналов??????
Я хотел обнаружить сканирование портов... на любых клиентах.. Как это сделать???
Клиент - это машина с Ubuntu, так же как и сервер, то есть сервер системного журнала.
2 ответа
Это зависит от брандмауэра на клиентах, вы даже не упоминаете задействованную ОС, а также то, что вы проверяете, но, безусловно, было бы возможно настроить брандмауэры некоторых ОС для системного журнала при попытках / запрете доступа к порту.
Тем не менее, это не очень хороший способ делать то, что, я думаю, вы хотите. Если вы хотите узнать, сканирует ли какая-либо машина внутри вашей сети порт и не имеет способа сделать это на коммутаторе / маршрутизаторе, тогда продолжайте и делайте то, что вы хотите, с помощью брандмауэров, системных журналов и spunk, но если вы ожидаете сканирование портов происходит из другой сети, тогда вам нужно только посмотреть на входящие порты, что будет намного проще.
Возможно, вернитесь к нам с гораздо большей информацией, и мы сможем быть более ясными.
Syslog - это средство для записи данных, а Splunk - это средство для анализа и поиска данных. Ни один из них не предназначен для обнаружения событий безопасности, таких как сканирование портов.
Для обнаружения событий безопасности вам необходимо программное обеспечение, обычно называемое "IDS" - Система обнаружения вторжений. Для этой IDS понадобится сетевой интерфейс, который будет видеть весь трафик, который вы надеетесь посмотреть. Это либо зеркальный порт на управляемом коммутаторе, либо любой порт на концентраторе.
Подключите анализатор обнаружения вторжений в сеть, например Snort, к порту мониторинга. Создайте правила для отслеживания попыток сканирования портов. Дамп вывода IDS в Splunk для анализа через системный журнал.