W jaki sposób inni administratorzy monitorują swoje serwery, aby wykryć nieautoryzowany dostęp i / lub próby włamania? W większej organizacji łatwiej jest rzucić ludzi na problem, ale w mniejszym sklepie, jak możesz skutecznie monitorować swoje serwery?
Zwykle przeglądam logi serwera, szukając czegoś, co mnie zaskoczy, ale naprawdę łatwo coś przeoczyć. W jednym przypadku poradziła nam niska ilość miejsca na dysku twardym: nasz serwer został przejęty jako witryna FTP - świetnie spisali się, ukrywając pliki, bawiąc się tabelą FAT. O ile nie znasz konkretnej nazwy folderu, nie będzie on wyświetlany w Eksploratorze, z DOS-a lub podczas wyszukiwania plików.
Jakie inne techniki i / lub narzędzia są używane przez ludzi?
Zautomatyzuj wszystko, co możesz ... spójrz na projekty takie jak OSSEC http://www.ossec.net/ Instalacja klienta / serwera ... naprawdę łatwa konfiguracja i strojenie też nie jest złe. Łatwy sposób stwierdzić, czy coś zostało zmienione, w tym wpisy rejestru. Nawet w małym sklepie chciałbym skonfigurować serwer syslog, abyś mógł przetrawić wszystkie logi w jednym miejscu. Sprawdź agenta syslog http://syslogserver.com/syslogagent.html, jeśli chcesz wysłać dzienniki systemu Windows do serwera syslog w celu analizy.
źródło
W Linuksie używam logcheck, aby regularnie zgłaszać podejrzane wpisy w moich plikach dziennika. Jest także bardzo przydatny do wykrywania nieoczekiwanych zdarzeń niezwiązanych z bezpieczeństwem.
źródło