OSSEC HIDS, Host Based Intrusion Detection System

Slides:



Advertisements
Presentazioni simili
Anno Diaconale f Federazione delle Chiese Evangeliche in Italia ufficio volontariato internazionale via firenze 38, roma tel. (+39) fax.
Advertisements

Shell: variabili di sistema PATH HOME USER PWD SHELL HOSTNAME HOSTTYPE Per visualizzare il valore di tutte le variabili dambiente si usa il comando set.
Luca Bianchi Windows Development Day Bologna 28 gennaio 2005 SQL Server Desktop Engine (MSDE) & SQL Server 2005 Express.
1 I KEYLOGGERS COSA SONO CONTROMISURE UN ESEMPIO.
Manutenzione e Monitoraggio delle performance. Contenuti Configurare e gestire i servizi Configurare e gestire i servizi Configurare e gestire periferiche.
1.E un algoritmo ricorsivo: Tutti le istanze di oggetti raggiungibili da un oggetto persistente diventano anchessi persistenti.
J0 1 Marco Ronchetti - Corso di Formazione Sodalia – Febbraio 2001 – Modulo Web Programming Tomcat configuration.
Sicurezza Informatica
2000 Prentice Hall, Inc. All rights reserved. 1 Capitolo 3 - Functions Outline 3.1Introduction 3.2Program Components in C++ 3.3Math Library Functions 3.4Functions.
Concord A tool for the analysis and concordances of the terminological constituents P. Plini, N. Mastidoro* * - Èulogos, Rome Institute for Atmospheric.
Palermo, may 2010 F.Doumaz, S.Vinci (INGV-CNT- Gruppo di telerilevamento)
La sicurezza può essere fornita in ciascuno degli strati: applicazione, trasporto, rete. Quando la sicurezza è fornita per uno specifico protocollo dello.
Fare clic per modificare lo stile del titolo Fare clic per modificare stili del testo dello schema – Secondo livello Terzo livello – Quarto livello » Quinto.
Secure Socket Layer (SSL) Transport Layer Security (TLS)
Come nella stampa tradizionale, un giornale online può essere di informazione informazione o un periodico dedicato a una disciplina specifica.
APOTEMA Accelerator-driven Production Of TEchnetium/Molybdenum
Project Review byNight byNight December 21th, 2011.
Project Review byNight byNight December 21th, 2011.
Architettura software La scelta architetturale: MVA (Model – View – Adapter/Control) The view is completely decoupled from the model such that view and.
WP4 – Software Infrastructures. How it was Overall goal “The outcome of WP4 is the design, implementation and evaluation of software components that will.
Project Review byNight byNight December 21th, 2011.
BSAFE/400 Gateway Gestione della Sicurezza IBM iSeries (AS/400) BSAFE/400 Gateway Valentino Nanni I/T Spec.iSeries.
1. Andro` in vacanza appena avro` finito il mio viaggio di affari. 2. Quando il negozio avra` venduto tutti i cappotti, ne ordinera` ancora. 3. La signora.
MyEconLab_Univerità degli studi di Milano, corso Prof.ssa Valentina Raimondi How to Access MyEconLab 1.
Distribuzione controllata del software con Systems Management Server 2003 Fabrizio Grossi.
OSSEC HIDS, Host Based Intrusion Detection System
BaBar Tier A Administration Workshop CCR, Paestum Giugno 2003 Alberto Crescente, INFN Sez. Padova.
Each student will be able to ask an adult or stranger: What do you like to do? and What don’t you like to …?
MyEconLab_Univerità degli studi di Milano, corso Prof.ssa Valentina Raimondi How to Access MyEconLab 1.
Project Review Novembrer 17th, Project Review Agenda: Project goals User stories – use cases – scenarios Project plan summary Status as of November.
Specialist Security Solutions & Services Soluzioni in “real-time” per la gestione della sicurezza Alberto Dossena Product Marketing Manager.
Texts are cooperatively generated by the addressee.
Security Monitor and Auditing & Event Management Franco Rasello Angelo Bianchi Integra Spa.
Che ora è? Che ore sono? Telling time. Fate Adesso: If you were to stop someone on the street to ask the time how would you get their attention? If you.
CMS RPC ITALIA' , Settembre Ischia-ITALIA RPC DCS Giovanni Polese.
LIVE TALK - Security Speed Pitch di Walter Doria, Technical Director, Exclusive Networks.
SUMMARY Starting systems RIEPILOGO Sistemi di avviamento RIEPILOGO Sistemi di avviamento.
LE PREPOSIZIONI. Le Preposizioni semplici (Simple prepositions) A preposition describes a relationship between other words in a sentence. In itself, a.
OpenShift Origin – Cosa è
Activity diagrams Data & Control Flows Esempi
SUMMARY Checking RIEPILOGO Verifiche RIEPILOGO Verifiche.
Security Group – Cnaf-Bologna - 7 Novembre 2007 Security Gruppo Auditing Franco Brasolin Servizio di Calcolo e Reti Sezione INFN di Bologna.
Linux Day 2006 – Giornata nazionale dedicata al Software Libero e GNU/ Linux – Come proteggere Windows tm con GNU/Linux Roberto Lacava.
Dyslexia activity Group 2 (Debora Q.) Lesson Outline  This activity is targeted at beginners half way through their first year but it could also work.
Introduzione a GNU/Linux. GNU/Linux Caratteristiche Compatibile con UNIX ® Multitasking Multiutente Libero.
Organizzazione e Formazione per l’arresto cardiaco in ospedale Overview Epidemiologia dell’ arresto intraospedaliero Criticita’ organizzative Applicazioni.
Privacy e fiducia nel social network IGF Italia Oreste Signore.
Amministrazione di reti di calcolatori - Massimo Bertozzi Log.
Riunione INFN – Bologna, 17 January 2013
Buy Cheap Elavil buy elavil uk where can i buy elavil buy elavil fedex elavil buy online buy elavil online cheap Lo scopo evidente di questa manovra a.
OSSEC HIDS, Host Based Intrusion Detection System
Metriche SE monitoring G.Donvito G.Cuscela INFN Bari
9. THE CONTROL OF THE TAX PAYER DECLARATION
Telling the time in Italian
Job Application Monitoring (JAM)
ONEDATA - distributed data caching -
Gruppo Proxmox ImoLUG: vedere provare condividere
Sviluppo di server web e sistema di caching per contenuti dinamici
Sono stati sperimentati software in grado di rilevare se sono stati compromessi determinati componenti di un sistema operativo.
Creare un server casalingo - 2
Clusters, bundles, lexical sets, priming Visual sets Translation
Carlson Wagonlit Travel per Istituto Nazionale di Fisica Nucleare
Carlson Wagonlit Travel per Istituto Nazionale di Fisica Nucleare
La Grammatica Italiana Avanti! p
Service Level The Service Level is defined as the percentage of orders cycles in which inventory is sufficient to cover demands, or.
Svolgimento della Sezione 5: CONTROLLORI
Accesso al corpus it. / ing. parola cercata sintagmi preposizioni.
A comparison between day and night cosmic muons flux
A semantic recommender system based on social user profiling
Gli studenti saranno in grado di usare l’imperfetto per descrivere cosa facevano da piccoli. Da Fare Ora: Che programma televisivo hai guardato ieri?
Transcript della presentazione:

OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Seconda

Scelta del tipo di installazione: server, agent o local?

Installazione E-mail notification: invio di e-mail per segnalare eventi rilevanti, importanti o gravi.

Installazione Integrity check daemon: controllo su file di configurazione ed eseguibili.

Rootkit detection engine: ricerca di rootkit. Installazione Rootkit detection engine: ricerca di rootkit.

Active response: risposta ad un evento. Installazione Active response: risposta ad un evento.

File di configurazione /var/ossec/etc/ossec.conf: opzioni globali, completamente personalizzabili. /var/ossec/etc/internal_options.conf: opzioni chiave per il funzionamento generale, da modificare solo in casi particolari.

ossec.conf: e-mail <global> Configurazione e-mail (sezione “global”): <global> <email_notification>yes</email_notification> <email_to>root@localhost</email_to> <smtp_server>127.0.0.1</smtp_server> <email_from>ossecm@localhost.localdomain</email_from> <email_maxperhour>70</email_maxperhour> </global>

ossec.conf: e-mail <email_alerts> Configurazione e-mail granulare (sezione “email_alerts”): <email_to> <event_location> <group> <level> <rule_id> <do_not_delay /> <do_not_group /> <format>

ossec.conf: e-mail <email_alerts> Configurazione e-mail granulare (sezione “email_alerts”): <email_alerts> <email_to>pluto@localhost</email_to> <level>12</level> <do_not_group/> <do_not_delay/> </email_alerts>

ossec.conf: e-mail <email_alerts> Configurazione e-mail granulare (sezione “email_alerts”): <email_alerts> <email_to>pippo@localhost</email_to> <event_location>vm-ossec-c|vm-ossec-d|192.168.0.0/24</event_location> <do_not_group/> </email_alerts>

ossec.conf: e-mail <email_alerts> Configurazione e-mail granulare (sezione “email_alerts”): <email_alerts> <email_to>anna@localhost</email_to> <group>syscheck</group> <format>sms</format> </email_alerts>

ossec.conf: e-mail <email_alerts> Configurazione e-mail granulare (sezione “email_alerts”): <email_alerts> <email_to>admin@localhost</email_to> <rule_id>40111</rule_id> <format>sms</format> </email_alerts>

ossec.conf: e-mail <alerts> Configurazione e-mail (sezione “alerts”): <alerts> <log_alert_level>1</log_alert_level> <email_alert_level>7</email_alert_level> </alerts>

ossec.conf: e-mail <alerts> Level 0: Ignored, no action taken. Scanned before all others (grouping). Level 2: System low priority notification and “catch all” rule with BAD_WORD. Level 3: Successful/authorized events. Level 4: System low priority errors. Level 5: User generated error (missed passwords, denied actions, etc.). Level 7: Syscheck. Level 8: First time seen events. Stats alerts.

ossec.conf: e-mail <alerts> Level 10: Multiple user generated errors: multiple bad passwords, multiple failed logins. Level 12: High importance event: error or warning messages from the system, kernel, etc. or something that might indicate an attack against a specific application. Level 13: Unusual error. Common attack patterns. Level 14: High importance security event: correlation of multiple attack rules. Level 15: Attack successful.

internal_options.conf: e-mail grouping Configurazione e-mail: # Maild grouping (0=disabled, 1=enabled)‏ # Groups alerts within the same e-mail. maild.groupping=1

“Stats” Numero di eventi generati: per ogni ora della giornata per ogni giorno della settimana totali

ossec.conf: “stats” <global> <stats>8</stats> </global> Ogni variazione significativa del numero di eventi segnalati in un certo periodo di tempo genera un alert di livello 8.

Internal_options.conf: “stats” # Analysisd stats maximum diff. analysisd.stats_maxdiff=25000 # Analysisd stats minimum diff. analysisd.stats_mindiff=250 # Analysisd stats percentage (how much to differ from average)‏ analysisd.stats_percent_diff=30

ossec.conf: file di log da monitorare <localfile>‏ <log_format>syslog</log_format> <location>/var/log/messages</location> </localfile> Formati supportati nativamente: syslog, snort-full, snort-fast, squid, iis, eventlog, nmapg (greppable nmap formatted logs), mysql_log, postgresql_log, apache.

ossec.conf: file integrity check <syscheck>‏ Opzioni <syscheck>: <frequency> <scan_day>* <scan_time> <scan_on_start> <directories> <ignore> <auto_ignore> <alert_new_files> <windows_registry> <registry_ignore>

ossec.conf: file integrity check <syscheck> Configurazione <syscheck>: day/time <syscheck> <scan_day>monday</scan_day>* <scan_time>8 pm</scan_time> <scan_on_start>no</scan_on_start> <auto_ignore>no</auto_ignore> [...] </syscheck>

ossec.conf: file integrity check <syscheck> Configurazione <syscheck>: frequency <syscheck> <frequency>7200</frequency> <auto_ignore>no</auto_ignore> <alert_new_files>yes</alert_new_files> [...] </syscheck>

ossec.conf: file integrity check <syscheck> Configurazione <syscheck>: <directories> <syscheck> <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories> <directories check_all="yes">/bin,/sbin</directories> <windows_registry>HKEY_LOCAL_MACHINE\Software</windows_registry> [...] </syscheck>

ossec.conf: file integrity check <syscheck>‏ Configurazione <syscheck>: <directories> attributes check_all check_sum check_size check_owner check_group check_perm

ossec.conf: file integrity check <syscheck> Configurazione <syscheck>: <ignore> <syscheck> <ignore>/etc/mtab</ignore> <ignore>C:\WINDOWS/System32/LogFiles</ignore> <registry_ignore>HKEY_CURRENT_USER</registry_ignore> [...] </syscheck> I file ignorati sul server vengono ignorati anche su tutti gli agent.

internal_options.conf: file integrity check # Syscheck checking/usage speed. To avoid large cpu/memory usage, you can specify how much to sleep after generating the checksum of X files. The default is to sleep 2 seconds after reading 15 files. syscheck.sleep=2 syscheck.sleep_after=15

ossec.conf: rootkit detection engine and policy enforcement <rootcheck> Opzioni <rootcheck>: <disabled> <frequency> <rootkit_files> <rootkit_trojans> <system_audit> <windows_audit> <windows_apps> <windows_malware>

ossec.conf: rootkit detection engine and policy enforcement <rootcheck> Opzioni <rootcheck>: <rootkit_files>: application level rootkit signatures file <rootkit_trojans>: application level trojan signatures file

ossec.conf: rootkit detection engine and policy enforcement <rootcheck>‏ Opzioni <rootcheck>: policy enforcement <system_audit> <windows_audit> <windows_apps> <windows_malware> Controllo su: f: file o directory (e loro contenuto)‏ r: registry key p: processo

Tool Principali tool di gestione (versione 1.6): /var/ossec/bin ossec-control syscheck_control clear_stats rootcheck_control agent_control list_agents syscheck_update manage_agents

Demoni Principali demoni (versione 1.6): /var/ossec/bin ossec-remoted ossec-agentd ossec-execd ossec-syscheckd* ossec-analysisd ossec-logcollector* ossec-maild ossec-monitord * girano come root

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.