Вопросы

Любые вопросы можно задать:

по электронной почте ESguardian@outlook.com

или оставить здесь в виде комментария к этой странице.

Все способы бесплатны.

Реклама

Вопросы: 10 комментариев

  1. Добрый день, Евгений!

    Интересно Ваше мнение. Возможно ли написать плагин для чтения из СУБД типа Cache. Судя по описаниям, OSSIM поддерживает чтение из СУБД типов MySQL, DB2, Oracle и MS SQL.

    Получается, что организовать чтение из СУБД других типов не получится?

    Нравится

    • Если коротко — возможно. Но надо кое-что подкрутить. На самом деле, «из коробки» AlienVault OSSIM работает только с MySQL и MS SQL. Для других СУБД плагины работать не будут, поскольку в дистрибутив не включены необходимые драйверы для доступа к ним. Соответственно нет питоновских модулей. Но если установить нужные модули, то всё заработает. В случае использования Cache придется еще поправить ParserDatabase.py (кажется он так называется) в /usr/share/alienvault/ossim-agent. Там увидите по коду, что править. Я не работал с Cache, не знаю есть ли библиотеки для нее под питон. Думаю, что есть. Собственно нужно всего лишь получить объекты двух типов: Connection и Cursor.

      Нравится

  2. Добрый день, Евгений!
    Как можно завести в OSSIM события из Kaspersky Security Center. Я так понимаю можно заново создать plugin для подключения к базе каспера, но ведь есть встроенные plugins kaspersky-sc и kaspersky. Вопрос в том — как их настроить? Они берут информацию из var/log/kaspersky-sc.log, а кто должен информацию туда складывать?

    Нравится

    • Я не работал с Касперским. Очень тяжелый антивирус. Насколько я помню он складывает события в базу MS SQL. Думаю, проще забрать оттуда, чем возиться с обработкой текстовых логов

      Нравится

  3. Евгений, добрый день!
    Подскажите, пожалуйста, как, на Ваш взгляд, можно реализовать отдачу событий через Output.py в ELK по аналогии с MongoDB? По реализации логгирования в Filebeat client из питона информации в инете как-то, скажем прямо, не густо. Может быть, у Вас уже есть подобная реализация, раз есть отдельно вывод в MongoDB и отдельно интеграция Wazuh OSSEC с ELK?

    Нравится

    • Я этого не делал, но можно легко. Варианты разные. Можно кинуть прямо в Elastic, используя его драйвер для питона, по аналогии с моим расширением для MongoDB. Можно скинуть в файл в формате JSON и отправить на Logstash, используя filebeats или logstash forwarder, как я отправляю лог Suricata. В последнем случае можете взять прямо мои файлы конфигурации и слегка поправить, что нужно.

      Нравится

  4. Здравствуйте, Евгений!
    Спасибо за Ваш скрипт по русификации событий в OSSIM. Воспользовались, все работает на версии 5.4, но в почтовых сообщениях все равно русский текст не отображается. Не подскажете, как можно русифицировать почтовые сообщения, отправляемые при срабатывании политик? Куда копать?

    Нравится

  5. Добрый день!

    Поддерживает ли система возможность пересылки syslog во внешние системы с подменой ip в отправляемом пакете на ip исходного сервера-источника syslog?

    Нравится

    • Не понял какая система? Rsyslog это поддерживает. Точнее rsyslog поддерживает вырезание из перенаправленного лога исходного. Передавать данные подменяя адрес в пакете — это как-то нехорошо.

      Нравится

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s