Главная » Статьи » Защита информации


Отслеживайте сигналы тревоги с помощью ACID для работы с журналами (протоколами) систем обнаружения вторжения

Отслеживайте сигналы тревоги с помощью  ACID

Используйте ACID для работы с журналами (протоколами) систем обнаружения вторжения. После настройки Snort на протоколирование сведений в БД вы можете прийти к выводу, что вам сложно справиться с обработкой всех генерируемых данных. Очень загруженные и привлекающие внимание сайты могут генерировать огромное количество предупреждений, которые зачастую необходимо отбрасывать. Одним из способов облегчения этой работы является установка ACID (http://acidlab.sourceforge.net).

ACID (сокращение от Analysis Console for Intrusion Databases (консоль анализа БД вторжений)) — это web-интейфейс для БД, содержащих сигналы тревоги, поступившие от систем обнаружения вторжений. Он имеет возможность выполнять поиск сигналов по определенному критерию (по подписи, времени обнаружения, по адресу и порту, а также по контексту «полезной нагрузки» пакета или по значениям флагов). ACID может выводить пакеты, которые привели к генерации сигнала тревоги, а также декодировать в них сведения 3-го и 4-го уровня. ACID также обладает функциями управления сигналами тревоги, позволяющими группировать сигналы по направленности, удалять изученные или ложные сигналы, отправлять сигналы по электронной почте или архивировать их в другой БД. ACID также обеспечивает различную статистику сигналов тревоги: хронологическую, по датчику, который их сгенерировал, по подписи. Кроме того, предоставляется статистика пакетов (протокол, адрес или порт).

Для установки ACID прежде всего понадобится web-сервер и работающая инсталляция РНР (например, Apache и mod_php), а также инсталляция Snort, настроенная на подключение к БД (например, MySQL). Нужны будут также парочка PHP-библиотек: для абстракций БД — ADODB (http://php.weblogs.com/adodb), а для создания графики — либо PHPIot (http://www.phplot.com), либо JPGraph (http://www.aditus.nu/jpgraph).

После загрузки из Сети этих пакетов распакуйте их в каталог, который будет использоваться для выполнения PHP-контекста на web-сервере. Перейдите в каталог, который был создан при распаковке ACID (то есть в ./acid), и отредактируйте файл acid_conf.php. В нем необходимо указать, где найти ADODB и JPGraph, а также как подключиться к БД Snort:

$Dblib_path = \ ./adodb";
SDbtype = "mysql":
$alert_dbname - "SNORT":
$alert_host = "local host":
$alert_port = "";
$alert_user="snort":
$alert_password = "snortpass";

При этом ACID будет вести поиск кода ADODB в каталоге adodb, находящемся наодном уровне с каталогом acid. Помимо этого, ACID будет подключаться к БД MySQL (с именем SNORT), размещенной на локальной машине, что не требует указания номера порта. Если необходимо подключиться к БД, расположенной в другой системе, требуется указать порт 3389, который для MySQL является портом по умолчанию. Дополнительно можно настроить архив БД для ACID с помощью переменных, аналогичных переменным, использовавшимся для настройки БД сигналов тревоги.

Перед использованием ACID необходимо создать несколько таблиц. Щелкните на кнопке Create ACID AG. После этого вы увидите сообщение о создании таблиц. Для таблицы событий лучше создать индексы, если это не было сделано во время настройки. Индексы значительно повышают скорость выполнения запросов в больших таблицах, чуть-чуть увеличивая использование дискового пространства. Щелкните на ссылке Ноте для перехода к основной странице ACID. Интерфейс ACID не требует никаких объяснений. Основная таблица имеет достаточно ссылок, позволяющих просматривать БД в различных представлениях: например, с выводом списка IP-адресов источника и пункта назначения, связанных с сигналом тревоги, а также номера портов.

источник: Локхарт Э. Антихакинг в сети. Трюки.

Категория: Защита информации | Добавил: george27 (05.10.2014)
Просмотров: 639 | Рейтинг: 5.0/1
Всего комментариев: 0
Имя *:
Email *:
Код *:

Последнее в Блоге

Как выбрать ноутбук? На что обратить внимание при выборе ноутбука?Как выбрать ноутбук? На что обратить внимание при выборе ноутбука?
Компактный ноутбук от Lenovo бюджетной серии IdeaPad 100-14Компактный ноутбук от Lenovo бюджетной серии IdeaPad 100-14
Обзор игрового ноутбука Acer Predator 17XОбзор игрового ноутбука Acer Predator 17X
Аркадный симулятор Smashy Road: теперь и Windows может похвастаться игрой WantedАркадный симулятор Smashy Road: теперь и Windows может похвастаться игрой Wanted