使用 splunk 检测端口扫描

使用 splunk 检测端口扫描

我已经设置了一个运行 Splunk 的日志服务器。我使用 Backtrack 对其中一个客户端进行了 ping 操作....这是否也会生成发送到日志服务器的日志??????

我想检测任何客户端上的端口扫描...该怎么做???

客户端是 ubuntu 机器,服务器也是 syslog 服务器

答案1

这取决于客户端的防火墙,您甚至没有提到所涉及的操作系统,更不用说您正在 ping 的是什么,但当然可以设置某些操作系统的防火墙来记录端口访问尝试/拒绝。

话虽如此,但这并不是一个特别好的方式来做你想做的事情。如果你想看看任何网络内部的机器正在进行端口扫描,并且没有基于交换机/路由器的方式来执行此操作,那么继续使用防火墙、系统日志和 splunk 执行您想要的操作,但如果您预计端口扫描来自不同的网络,那么您只需要查看入口端口,这会容易得多。

也许可以回到我们身边很多更多信息,我们可能会更清楚。

答案2

Syslog 是记录数据的手段,Splunk 是解析和搜索数据的手段。两者都不是为检测端口扫描等安全事件而设计的。

要检测安全事件,您需要一个通常称为“IDS”的软件 - 入侵检测系统。该 IDS 需要一个网络接口来查看您希望监视的所有流量。这可以是镜像端口在托管交换机或集线器上的任何端口上。

将 Snort 等网络入侵检测嗅探器连接到监控端口。创建规则以监视端口扫描尝试。将 IDS 输出转储到 Splunk 以通过系统日志进行分析。

相关内容