Сектанты

Вчера посетил мероприятие IDC Security Roadshow 2017. Приглашали долго. Думаю, больше не пригласят. Людей было много. Давно не видел в одном месте столько специалистов по информационной безопасности. Впечатление тяжелое. Почему? Вот об этом и маленькая заметка. Символ веры Все докладчики начинают свои выступления одной и той же мантрой о росте угроз и грядущем Апокалипсисе. Даже…

LittleBeat выпущен

Это готовый к работе аплаенс для сбора и анализа журналов событий Windows на базе стека ELK, предназначенный для небольших компаний (от 5 до 500 хостов). Для установки необходима виртуальная или физическая машина Debian 8. Рекомендуется минимальная установка системы с дистрибутива netinst с выбором только сервера SSH и стандартных системных утилит в качестве дополнительных опций. Во…

LittleBeat

Почти готово. Два месяца над ним каждый вечер бьюсь. Это мне сразу в голову пришло после статейки «Elastic для маленьких». Скоро доделаю. Это типа трейлер. Появится в виде образа iso для автоматической установки на debian. Ну, и исходники тоже будут доступны.

ELK Отслеживание процессов Windows во всей сети

Что мы хотим получить? Мы хотим отслеживать какие программы (процессы) запускаются на windows-компьтерах нашего предприятия. На всех компьютерах, серверах и рабочих станциях. Мы хотим обнаруживать запуск неизвестных или опасных, на наш взгляд, процессов. Как мы этого добьемся? Мы будем использовать стек ELK для сбора логов аудита всех машин с помощью агента winlogbeat. Мы включим аудит…

Вернулся на github

Поскольку я окончательно и везде решил больше не использовать кодировку cp1251, я вернул весь код на github. https://github.com/ESGuardian. Сейчас я обновляю только то, что связано с ELK. Пока другими вещами не занимаюсь.

Elastic и Python. Поиск в списке индексов.

На днях столкнулся с интересной проблемой. Используя модуль elasticsearch для Python захотел задать поиск в списке индексов. Конкретно хочу искать данные за несколько последних суток. Понятно, что можно использовать range в фильтре запроса, но зачем? Ведь у меня индексы разбиты по дням, достаточно задать список индексов для поиска. Но как его задать правильно в параметрах…

Elastic для маленьких. Оптимизируем для небольшой компании.

В сети можно найти много ресурсов о том, как оптимизировать крупные кластеры Elasticsearch. И ничего нет об оптимизации маленьких кластеров, тем более совсем никаких не кластеров, а просто одного узла. Тем не менее, в конфигурации «по умолчанию» ваш узел Elasticsearch продержится не долго. Думаю, и неделю не простоит. Надо менять параметры конфигурации. К сожалению, менять их «тупо»…