LittleBeat UEBA Addon

Оно свершилось. Альфа версия UEBA Addon появилась в LittleBeat. Если кто не знает, что это за фигня, с таким неприличным названием, UEBA — User and Entity Behavior Analyzer (Analytics), анализатор поведения пользователей и сущностей.  Главное назначение — искать аномальные события связанные с этими самыми пользователями и сущностями. На самом деле, штука очень простая. Надо определить,…

LittleBeat 6.1 iTop CMDB Addon

Вот и настало время «официального» объявления. iTop CMDB Addon уже можно устанавливать. Как? Читайте LittleBeat Wiki. Там подробная инструкция в картинках и советы, как этим пользоваться. Еще анонс на будущее. Когда-то я писал о LittleBeat UEBA. Я не забыл о нем. Времени не было. Сейчас он уже тестируется помаленьку. Это довольно большая многомодульная конструкция. Первый…

Wazuh Addon для LittleBeat 6.1

Обычно новости появляются в воскресенье вечером, но вчера я хотел спать. Поэтому сообщаю эту новость сегодня. Wazuh Addon для LittleBeat 6.1 выпущен. Он  сделан не так, как прежний. Что изменилось? Я убрал поддержку Wazuh API  и Kibana Plugin. Ничего полезного, кроме красивых картинок в них не видно. Wazuh Manager я запихнул в docker контейнер. Я…

LittleBeat 6.1 + Facebook OSquery Addon

Сразу две новости. Во-первых, выпущен LittleBeat на платформе ELK 6.1.3. Во-вторых, к нему выпущен Facebook OSquery Addon for Windows. Теперь подробнее. LittleBeat 6.1. Изменения Почти последняя версия стека ELK. Более приятный дизайн консоли. Установка больше не выполняется с образа ISO. Прямо с GitHub. Теперь обязательно иметь в сети сервер DNS, на нем должна быть запись…

Checkpoint to Logstash

Настройка сбора логов CheckPoint FW-1 на ELK Вступление Я давно ничего нового не писал и совсем забросил свой LittleBeat. Нет, не забросил. Просто я сменил место работы и последние два месяца занят выше крыши. Но есть надежда, что LittleBeat обретет второе дыхание. Компания, в которой я сейчас работаю, совсем не против поддержки этого Open Source…

LittleBeat Wazuh Kibana App Russian

Небольшое косметическое изменение в LittleBeat 5.5.001 Wazuh Addon. Интерфейс плагина Wazuh переделан на русский язык. Addon теперь ставится с русской версией плагина. Если вы уже устанавливали addon и хотите поменять его на русскую версию это можно сделать с SSH консоли LittleBeat. В главной консоли выберите пункт «выход в shell» и наберите команды: Если вы, напротив,…

LittleBeat Wazuh Addon

Для LittleBeat 5.5.001 появился Wazuh Addon. Это добавляет к имеющимся возможностям обработки логов Windows аналогичные возможности для гетерогенной среды (Linux, Solaris, Mac OS X) и кое-что еще. Много всего. Wazuh — это форк OSSEC. На мой взгляд, сильно улучшенный. OSSEC — это хорошо известная в мире Host IDS. Wazuh много чего добавляет, например, аудит системы…

LittleBeat обновлен

Как видно на картинке, старенький LittleBeat переделан под новый стек ELK 5.5. Новую функциональность он пока не приобрел, но я над этим работаю. В планах добавить Host IDS и Network IDS (OSSEC и Suricata, соответственно). OSSEC будет не стандартный, а форк от Wazuh. Он получше будет, а еще у него есть RESTful API. Suricata будет…

OSSIM и USM: баг в USM и способ обхода

Вот и появился повод вновь написать об OSSIM, впрочем скорее о его коммерческом собрате AlienVault USM. Повод не очень приятный. В AV USM 5.4 валятся плагины, обрабатывающие логи в кодировке utf8 (по крайней мере русские логи). Но это повод. Заметка будет не только об этом. Вообще о разнице между коммерческой и свободной версиями. Но, пока,…