:strip_icc():strip_exif()/u/111937/images.jpg?f=community)
Wij zijn bij ons op het werk bezig met het herinrichten van onze monitoring software (remote systeembeheer). Hiervoor is een nieuw pakket aangeschaft, waarmee we ongeveer alles kunnen 
Een van de (wat mij betreft) mooiste doch meest complexe opties is dat onze server de events van de beheerderde servers overneemt, en hier waar nodig een alarm op laat afgaan.
We hebben in de afgelopen weken enkele testen gedaan, en het blijkt vrijwel onmogelijk om alle events die "naar voren komen" 'on-demand' te onderdrukken (ofwel: alle events geven een alarm, tenzij deze eerder is uitgesloten binnen de ignore lijst). Dit resulteerde (niet zo gek) in een kleine 250 alarmen in een nacht.
Bij 250 alarmen bleek het praktisch niet haalbaar om scherp te blijven als er 'echt' en nuttig eventje tussenhangt. Nu is besloten om te gaan proberen de situatie om te draaien. Dit is echter een monnikkenwerk waar je u tegen zegt: Zoveel mogelijk events documenteren en waar nodig uitsluiten.
Ik heb via een "EventID.net" clone de security-events in een lijst gezet, en hier de belangrijke dingen uit gehaald. Echter heb ik nergens op het wereld wijde web een duidelijke (liefst in databasevorm) lijst gevonden van mogelijke events (de bekende sources zijn via EventID te vinden, maar niet in lijstvorm.
Zijn er mensen met ervaringen wat betreft event monitoring, en (misschien nog meer gevraagd ) zijn er mensen die bronnen weten waarin alle mogelijke events te vinden zijn.
P.S: Inkloppen van alle events (en tijd) zijn geen barrieres, de baas ziet ook in dat dit zo niet kan.
Een van de (wat mij betreft) mooiste doch meest complexe opties is dat onze server de events van de beheerderde servers overneemt, en hier waar nodig een alarm op laat afgaan.
We hebben in de afgelopen weken enkele testen gedaan, en het blijkt vrijwel onmogelijk om alle events die "naar voren komen" 'on-demand' te onderdrukken (ofwel: alle events geven een alarm, tenzij deze eerder is uitgesloten binnen de ignore lijst). Dit resulteerde (niet zo gek) in een kleine 250 alarmen in een nacht.
Bij 250 alarmen bleek het praktisch niet haalbaar om scherp te blijven als er 'echt' en nuttig eventje tussenhangt. Nu is besloten om te gaan proberen de situatie om te draaien. Dit is echter een monnikkenwerk waar je u tegen zegt: Zoveel mogelijk events documenteren en waar nodig uitsluiten.
Ik heb via een "EventID.net" clone de security-events in een lijst gezet, en hier de belangrijke dingen uit gehaald. Echter heb ik nergens op het wereld wijde web een duidelijke (liefst in databasevorm) lijst gevonden van mogelijke events (de bekende sources zijn via EventID te vinden, maar niet in lijstvorm.
Zijn er mensen met ervaringen wat betreft event monitoring, en (misschien nog meer gevraagd
) zijn er mensen die bronnen weten waarin alle mogelijke events te vinden zijn.P.S: Inkloppen van alle events (en tijd) zijn geen barrieres, de baas ziet ook in dat dit zo niet kan.
:strip_icc():strip_exif()/u/8430/logo.jpg?f=community){kind=logo}
:strip_icc():strip_exif()/u/83667/DDZ_Maliebaan_70px.jpg?f=community)
Het zijn er vast honderdduizenden, allemaal kunnen ze door vele verschillende zaken gegenereerd worden...