LittleBeat Wazuh Kibana App Russian

Небольшое косметическое изменение в LittleBeat 5.5.001 Wazuh Addon. Интерфейс плагина Wazuh переделан на русский язык. Addon теперь ставится с русской версией плагина. Если вы уже устанавливали addon и хотите поменять его на русскую версию это можно сделать с SSH консоли LittleBeat. В главной консоли выберите пункт «выход в shell» и наберите команды: Если вы, напротив,…

LittleBeat Wazuh Addon

Для LittleBeat 5.5.001 появился Wazuh Addon. Это добавляет к имеющимся возможностям обработки логов Windows аналогичные возможности для гетерогенной среды (Linux, Solaris, Mac OS X) и кое-что еще. Много всего. Wazuh — это форк OSSEC. На мой взгляд, сильно улучшенный. OSSEC — это хорошо известная в мире Host IDS. Wazuh много чего добавляет, например, аудит системы…

LittleBeat обновлен

Как видно на картинке, старенький LittleBeat переделан под новый стек ELK 5.5. Новую функциональность он пока не приобрел, но я над этим работаю. В планах добавить Host IDS и Network IDS (OSSEC и Suricata, соответственно). OSSEC будет не стандартный, а форк от Wazuh. Он получше будет, а еще у него есть RESTful API. Suricata будет…

OSSIM и USM: баг в USM и способ обхода

Вот и появился повод вновь написать об OSSIM, впрочем скорее о его коммерческом собрате AlienVault USM. Повод не очень приятный. В AV USM 5.4 валятся плагины, обрабатывающие логи в кодировке utf8 (по крайней мере русские логи). Но это повод. Заметка будет не только об этом. Вообще о разнице между коммерческой и свободной версиями. Но, пока,…

AlienVault OSSIM and USM Русский язык в custom functions

Столкнулся с этим при написании одного плагина, который обрабатывает лог полностью на русском языке. И дата там в таком формате: 1 июня 2017 г. 10:23:30. Прикольно. Как сделать чтобы лог на русском обрабатывался правильно я уже здесь писал, например, в статье «OSSIM. Обзор». Надо просто дописать |encoding к строке с путем к файлу конфигурации плагина…

Сектанты

Вчера посетил мероприятие IDC Security Roadshow 2017. Приглашали долго. Думаю, больше не пригласят. Людей было много. Давно не видел в одном месте столько специалистов по информационной безопасности. Впечатление тяжелое. Почему? Вот об этом и маленькая заметка. Символ веры Все докладчики начинают свои выступления одной и той же мантрой о росте угроз и грядущем Апокалипсисе. Даже…

LittleBeat выпущен

Это готовый к работе аплаенс для сбора и анализа журналов событий Windows на базе стека ELK, предназначенный для небольших компаний (от 5 до 500 хостов). Для установки необходима виртуальная или физическая машина Debian 8. Рекомендуется минимальная установка системы с дистрибутива netinst с выбором только сервера SSH и стандартных системных утилит в качестве дополнительных опций. Во…

LittleBeat

Почти готово. Два месяца над ним каждый вечер бьюсь. Это мне сразу в голову пришло после статейки «Elastic для маленьких». Скоро доделаю. Это типа трейлер. Появится в виде образа iso для автоматической установки на debian. Ну, и исходники тоже будут доступны.

ELK Отслеживание процессов Windows во всей сети

Что мы хотим получить? Мы хотим отслеживать какие программы (процессы) запускаются на windows-компьтерах нашего предприятия. На всех компьютерах, серверах и рабочих станциях. Мы хотим обнаруживать запуск неизвестных или опасных, на наш взгляд, процессов. Как мы этого добьемся? Мы будем использовать стек ELK для сбора логов аудита всех машин с помощью агента winlogbeat. Мы включим аудит…