OSSIM и USM: баг в USM и способ обхода

Вот и появился повод вновь написать об OSSIM, впрочем скорее о его коммерческом собрате AlienVault USM. Повод не очень приятный. В AV USM 5.4 валятся плагины, обрабатывающие логи в кодировке utf8 (по крайней мере русские логи). Но это повод. Заметка будет не только об этом. Вообще о разнице между коммерческой и свободной версиями. Но, пока,…

AlienVault OSSIM and USM Русский язык в custom functions

Столкнулся с этим при написании одного плагина, который обрабатывает лог полностью на русском языке. И дата там в таком формате: 1 июня 2017 г. 10:23:30. Прикольно. Как сделать чтобы лог на русском обрабатывался правильно я уже здесь писал, например, в статье «OSSIM. Обзор». Надо просто дописать |encoding к строке с путем к файлу конфигурации плагина…

Сектанты

Вчера посетил мероприятие IDC Security Roadshow 2017. Приглашали долго. Думаю, больше не пригласят. Людей было много. Давно не видел в одном месте столько специалистов по информационной безопасности. Впечатление тяжелое. Почему? Вот об этом и маленькая заметка. Символ веры Все докладчики начинают свои выступления одной и той же мантрой о росте угроз и грядущем Апокалипсисе. Даже…

LittleBeat выпущен

Это готовый к работе аплаенс для сбора и анализа журналов событий Windows на базе стека ELK, предназначенный для небольших компаний (от 5 до 500 хостов). Для установки необходима виртуальная или физическая машина Debian 8. Рекомендуется минимальная установка системы с дистрибутива netinst с выбором только сервера SSH и стандартных системных утилит в качестве дополнительных опций. Во…

LittleBeat

Почти готово. Два месяца над ним каждый вечер бьюсь. Это мне сразу в голову пришло после статейки «Elastic для маленьких». Скоро доделаю. Это типа трейлер. Появится в виде образа iso для автоматической установки на debian. Ну, и исходники тоже будут доступны.

ELK Отслеживание процессов Windows во всей сети

Что мы хотим получить? Мы хотим отслеживать какие программы (процессы) запускаются на windows-компьтерах нашего предприятия. На всех компьютерах, серверах и рабочих станциях. Мы хотим обнаруживать запуск неизвестных или опасных, на наш взгляд, процессов. Как мы этого добьемся? Мы будем использовать стек ELK для сбора логов аудита всех машин с помощью агента winlogbeat. Мы включим аудит…

Вернулся на github

Поскольку я окончательно и везде решил больше не использовать кодировку cp1251, я вернул весь код на github. https://github.com/ESGuardian. Сейчас я обновляю только то, что связано с ELK. Пока другими вещами не занимаюсь.