Наилучший способ централизованно отслеживать атаки на Linux-сервера?

Привет. Имеется около 40 серверов с Ubuntu, на которых хостятся проекты с различной нагрузкой (от 10 до 1000 запросов в секунду). Все сервера находятся в облаке, физического доступа к ним нет. Из защиты и мониторинга на всех серваках настроен необходимый минимум (ufw, fail2ban, ssh по ключам, сервера объединены в VPN, наружу открыты только TCP 80\443, сбор системных и продуктовых логов в ELK-кластер, регулярно проверяется необходимость установки патчей и обновлений). Ищу софтину, которая позволит все это как-то централизовать, т.е отслеживать весь входящий трафик на предмет сканирования портов, попыток DDoS-атак, ошибок подключения к ssh с неверным ключем, сканирование HTTPS-трафика на предмет поиска уязвимостей (запросы ботов к известным скриптам админок и т.д), а также сканирования всех Linux-систем на предмет наличия известных уязвимостей. Существует ли такое решение, OpenSource или какие-то коммерческие продукты?
В теории знаю, что есть IPS\IDS-системы (тот же Snort, Surricata), но как я понял, они больше подходят для физической сети, когда через них можно пусть трафик (или отзеркалить), подойдут ли они для моей задачи? Может кто-то сталкивался с похожей задачей и нашел для себя удобный инструмент или какой-либо стек технологий ? =)
  • Вопрос задан
  • 546 просмотров
Пригласить эксперта
Ответы на вопрос 2
@MechanID
Админ хостинг провайдера
Из личного опыта даже настроенный IDS на Juniper SRX не делает все что вы хотите.
Из бесплатного но увы не централизированного
1 посмотрите в сторону ConfigServer Security & Firewall - это утилита управление iptables, а также автобанилка за неудачные попытки входа, за скан портов и тд, правда нужно сидеть и вдумчиво настраивать.
Основная польза когда оно работает с логом от mod_security. ну и просто логи ssh ftp и так далее тоже читает и банит плохишей.
2 Сканирывание на уязвимости из бесплатного - OpenVas
3 Грубые ддосы и тд должен показывать обычный мониторинг типа семейств nagios, или заббикс. метрики - сетевой трафик, реквесты к веб серверу и тд.
Ответ написан
@cssman
вам нужен SIEM и к нему подключайте все логи с фаерволов, Ids, спо и т.п.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы