Wykrywanie i alertowanie logowań po godzinch pracy

Jest to jeden z najczęstszych alertów i można go łatwo stworzyć z pomocą Energy Logserver. Co więcej - taki alert jest już zdefiniowany i domyślnie umieszczany w paczce instalacyjnej systemu Energy Logserver. W przypadku użytkowników systemu Windows wykrywamy logowania w nocy.

W niektórych wdrożeniach, alert ten został zmodyfikowany dla użytkowników systemu Linux lub użytkowników usług dedykowanych, które nie są związane z określonym systemem operacyjnym.
Taka konfiguracja reguł nie może być prostsza:

Co więcej, do każdego alertu możemy dodać opcję kalendarza, więc taki alert będzie wyzwalany na podstawie formatu crontab, na przykład:

calendar:
  schedule: "* 0-8,16-23 * * mon-fri"

Wykrywanie i alertowanie anomalii w ruchu sieciowym

Do monitorowania anomalii w ruchu używamy różnych podejść. Oczywiście możemy obsługiwać takie zdarzenia w Energy Logserver dedykowaną sondą sieciową, która jest wyposażona w moduł Netflow Analazing i domyślnie wykrywa anomalie. Takie sondy odbierają przepływ sieciowy z wybranego span portu i mogą być również używane jako urządzenie wirtualne.

Niezależnie od zastosowania sondy - w Energy Logserver używamy do tego naszego modułu alarmowego, w którym wybieramy odpowiednie podejście.
W przypadku niektórych klientów używamy typu Metric Aggregation, w którym ustalamy próg wysyłanych / odbieranych danych.

Ale Energy Logserver ma również zestaw predefiniowanych alertów, a wśród nich są: Netflow - DNS traffic abnormal typu Spike. Ta reguła działa na zasadzie porównaniu rzeczywistych ram czasowych z poprzednimi i obliczeniu różnicy między nimi. W ten sposób wykrywamy nagły wzrost (lub spadek) wybranego wzoru.

Innym podejściem jest monitorowanie nowych, nie widzianych wcześniej wartości w wybranym polu (jak nowy adres url w naszych logach) per użytkownik, źródło lub inny parametr.

 

Energy Logserver może łączyć ze sobą wiele alertów w jeden, skorelowany przez pola i warunki z typami Chain lub Logical.

Wykrywanie i alertowanie ataków DDoS w Energy Logserver

Energy Logserver pozwala wykryć atak DDoS na kilka sposobów. We wszystkich scenariuszach otrzymujemy powiadomienia lub podejmujemy zautomatyzowaną, określoną akcję na podstawie wykrycia, dlatego stosujemy alertowania. Możemy albo zintegrować się z oprogramowaniem firewall, które jest w stanie wykryć taki atak lub możemy samodzielnie tworzyć takie detekcje.

W jednym podejściu typem alertu dla tego studium przypadku jest Frequency. Szukamy wskaźnika połączenia i liczymy wystąpienia per źródłowy adres IP. Jeśli będzie więcej niż 100 połączeń na 1 adres IP w ciągu 5 minut - zostanie uruchomiony alert.

Możemy stworzyć taki sam rodzaj alertu, który liczy wystąpienia per strona internetowa z określonym progiem maksymalnej wizyty.

Inną opcją jest utworzenie obu tych alertów bez powiadomienia i utworzenie korelacji między nimi przy użyciu typu alertu Logical.