AuthLogParser

AuthLogParser: Herramienta de código abierto para analizar registros de autenticación de Linux.

AuthLogParser es una herramienta de código abierto diseñada para la investigación forense digital y la respuesta a incidentes, especialmente diseñada para analizar los registros de autenticación de Linux (auth.log).

La herramienta examina el archivo auth.log, extrayendo detalles cruciales como inicios de sesión SSH, creaciones de usuarios, nombres de eventos, direcciones IP, entre otros. Produce un resumen conciso que ofrece una visión clara de las actividades documentadas en los registros de autenticación, presentando la información en un formato fácil de leer.

Características de AuthLogParser

"El rasgo distintivo de AuthLogParser reside en su capacidad para transformar el intrincado panorama de los registros de autenticación de Linux en una central de investigación racionalizada. Destila la complejidad de los incidentes de seguridad registrados en el auth.log en un informe resumen finamente elaborado, ofreciendo una visión general", dijo a Help Net Security Eilay Yosfan, creador de la herramienta e investigador de amenazas en Security Joes.

"La habilidad de la herramienta para el análisis granular de eventos, desde inicios de sesión SSH hasta actividades de usuario, la eleva más allá de los analizadores de registro genéricos. Sus tablas personalizables y su diseño adaptable hacen que descifrar eventos de seguridad en plataformas Linux sea una experiencia perfecta."

He aquí una lista de las funciones que AuthLogParser puede analizar:

Características del informe resumido

  • Nombre de host
  • Recuento de líneas
  • Tamaño del registro
  • Hora de inicio
  • Hora final
  • Duración

Tabla de estadísticas

  • Tabla de nombres de eventos
  • Tabla de direcciones IP
  • Tabla de SSH fallidos
  • Tabla de elementos no encontrados

Eventos de actividad de grupos de usuarios

  • Autenticación de contraseña SSH correcta
  • Autenticación de clave pública SSH correcta
  • Actividad de creación de nuevo usuario
  • Actividad de eliminación de usuarios
  • Actividad de cambio de contraseña de usuario
  • Actividad de creación de un nuevo grupo
  • Actividad de eliminación de grupo
  • Actividad de Usuario Añadido a un Grupo
  • Actividad de Usuario Eliminado de un Grupo
  • Sesión abierta para usuario root
  • Actividades Generales
  • Apagado de la máquina mediante el botón de encendido

Planes de futuro

En próximas iteraciones, el creador quiere elevar AuthLogParser más allá de su éxito inicial como prueba de concepto.

"Gracias a la buena acogida de la herramienta, la atención se ha desplazado hacia la creación de una solución más completa. Las versiones futuras se centrarán en los archivos de registro auth.log y ampliarán la compatibilidad para abarcar varios formatos de registro que se encuentran en la investigación forense digital. Los valiosos comentarios de los usuarios guiarán este proceso, impulsando el perfeccionamiento de las funciones existentes y la incorporación de otras nuevas. En el horizonte se vislumbran actualizaciones periódicas para seguir abordando de forma proactiva los nuevos retos de la ciberseguridad. Y quién sabe, con la ampliación de sus capacidades, podría surgir un nuevo nombre; después de todo, la herramienta ya no se limita a analizar únicamente archivos auth.log", concluye Yosfan.

AuthLogParser está disponible gratuitamente en GitHub.

 

Fuente: somoslibres

 

¿Quién está en línea?

Hay 2895 invitados y ningún miembro en línea