Ferramenta ideal de gerenciamento de log

3 11 2007

Ideal Log Management Tool [1] é uma crítica muito bem humorada do Chuvakin em relação ao alucinado post chamado The Best Web Application Vulnerability Scanner in the World [2] do Jeremiah Grossman [3] .


No fundo a “dream log management tools” sugerida pelo Grossman é algo muito similar ao que eu imagino já a alguns anos, mas o Chuvakin tem razão e seu pensamento vai de encontro com o meu e é muito óbvio; para implementar tal “dream log management tools” a quantidade de recursos computacionais necessários inviabilizam qualquer proposta, mesmo utilizando compressões de dados e outras artimanhas; porém é possível chegarmos a um meio termo, um pouco melhor do que existe hoje e não exatamente como o Grossman propõe.

No último GTS o André Proto e o Jorge Luiz Corrêa da ACME da Unesp de Rio Preto, apresentou seu projeto chamado Banco de dados de fluxos para análises de segurança que vai justamente de encontro com uma dos pilares de viabilização desta ferramenta, porém sem armazenar os payloads; que é o custoso neste processo. Porém eles se baseiam no netflow, desenvolvi um projeto similar, inicialmente utilizando o pcapy e óbvio com Python, depois migrando para C++ utilizei direto o libcap e acho que ele teve um desempenho razoável. De qualquer forma, hoje “penso” em desenvolver um projeto semelhante, integrado ao Snort e ao guardian com um daemon extra de syslog dos servidores monitorados, onde na camada de persistência seria dividida entre servidor de filas e o banco de dados, onde os últimos 10 minutos sempre fiquem armazenados em fila. Quando um alerta for gerado, não só o payload de todos os pacotes do fluxo relativo seria armazenado em database mas todo o channel disponível em fila, isto tudo com a flexibilidade de tunning de sensores que vai de encontro também com a sugestão que o Augusto havia comentado no YSTS, e com um pouco mais de flexibilidade do que alguns IDS oferecem. Mas esta é só uma das features ideais da tal “dream log management tools”!🙂

[1] Ideal Log Management Tool

[2] The Best Web Application Vulnerability Scanner in the World

[3] Jeremiah Grossman

[4] GTS

[5] Banco de dados de fluxos para análises de segurança


Ações

Information

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s




%d blogueiros gostam disto: