Вопросы

Любые вопросы можно задать:

по электронной почте ESguardian@outlook.com

или оставить здесь в виде комментария к этой странице.

Все способы бесплатны.

Реклама

Вопросы: 12 комментариев

  1. Добрый день, Евгений!

    Интересно Ваше мнение. Возможно ли написать плагин для чтения из СУБД типа Cache. Судя по описаниям, OSSIM поддерживает чтение из СУБД типов MySQL, DB2, Oracle и MS SQL.

    Получается, что организовать чтение из СУБД других типов не получится?

    Нравится

    • Если коротко — возможно. Но надо кое-что подкрутить. На самом деле, «из коробки» AlienVault OSSIM работает только с MySQL и MS SQL. Для других СУБД плагины работать не будут, поскольку в дистрибутив не включены необходимые драйверы для доступа к ним. Соответственно нет питоновских модулей. Но если установить нужные модули, то всё заработает. В случае использования Cache придется еще поправить ParserDatabase.py (кажется он так называется) в /usr/share/alienvault/ossim-agent. Там увидите по коду, что править. Я не работал с Cache, не знаю есть ли библиотеки для нее под питон. Думаю, что есть. Собственно нужно всего лишь получить объекты двух типов: Connection и Cursor.

      Нравится

  2. Добрый день, Евгений!
    Как можно завести в OSSIM события из Kaspersky Security Center. Я так понимаю можно заново создать plugin для подключения к базе каспера, но ведь есть встроенные plugins kaspersky-sc и kaspersky. Вопрос в том — как их настроить? Они берут информацию из var/log/kaspersky-sc.log, а кто должен информацию туда складывать?

    Нравится

    • Я не работал с Касперским. Очень тяжелый антивирус. Насколько я помню он складывает события в базу MS SQL. Думаю, проще забрать оттуда, чем возиться с обработкой текстовых логов

      Нравится

  3. Евгений, добрый день!
    Подскажите, пожалуйста, как, на Ваш взгляд, можно реализовать отдачу событий через Output.py в ELK по аналогии с MongoDB? По реализации логгирования в Filebeat client из питона информации в инете как-то, скажем прямо, не густо. Может быть, у Вас уже есть подобная реализация, раз есть отдельно вывод в MongoDB и отдельно интеграция Wazuh OSSEC с ELK?

    Нравится

    • Я этого не делал, но можно легко. Варианты разные. Можно кинуть прямо в Elastic, используя его драйвер для питона, по аналогии с моим расширением для MongoDB. Можно скинуть в файл в формате JSON и отправить на Logstash, используя filebeats или logstash forwarder, как я отправляю лог Suricata. В последнем случае можете взять прямо мои файлы конфигурации и слегка поправить, что нужно.

      Нравится

  4. Здравствуйте, Евгений!
    Спасибо за Ваш скрипт по русификации событий в OSSIM. Воспользовались, все работает на версии 5.4, но в почтовых сообщениях все равно русский текст не отображается. Не подскажете, как можно русифицировать почтовые сообщения, отправляемые при срабатывании политик? Куда копать?

    Нравится

      • Добрый день Евгений!
        Такая же проблема.
        Версия OSSIM: 5.5.1
        Почтовый клиент: MS Outlook 2010
        Русификатор работает отлично, в журналах все сообщения содержащие русский текст отображаются нормально. Однако письмо с уведомлением о событии (обработанное политикой которая обрабатывает событие и формирует уведомление ), русский текс отображается не корректно – в не понятной кодировке:
        Отрывок из письма:
        * event_id: 37d211e8-b206-5254-009d-d5217ba08a38
        * plugin_id: 7012
        * username: Администратор

        Вы не разбирались с этим вопросом? Может на этапе формирования почтового сообщения нужно как-то указывать русскую кодировку? Только как?

        Нравится

      • @Андрей,
        Кодировка как раз понятная. Это строка в windows-1251 выведенная в windows-1252 (она же latin1). А вот как с этим бороться — не понятно. Насколько я помню, кодировку почтового сообщения, там указать негде. Значит надо лезть в исходники и смотреть кусок, который занимается отправкой алертов по почте. Увы, сейчас у меня OSSIM даже под рукой нету. Я его давно забросил.

        Нравится

  5. Добрый день!

    Поддерживает ли система возможность пересылки syslog во внешние системы с подменой ip в отправляемом пакете на ip исходного сервера-источника syslog?

    Нравится

    • Не понял какая система? Rsyslog это поддерживает. Точнее rsyslog поддерживает вырезание из перенаправленного лога исходного. Передавать данные подменяя адрес в пакете — это как-то нехорошо.

      Нравится

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s