Заменяем OSSIM более простой конструкцией на основе ELK

Такая вот осенняя мысль закралась в мою голову. Заменить OSSIM чем-то более простым и более производительным. Чтобы не было «лишних» функций, например, собственно SIEM, и чтобы лучше работалось с «сырыми» логами. Я остановился на стеке Elasticsearch — Logstash — Kibana (ELK) в качестве хранилища, парсера, и средства просмотра и анализа логов. Основными компонентами OSSIM являются…

Logger для OSSIM. Как сделать бесплатно.

Одним из недостатков Open Source версии AlienVault OSSIM является отсутствие логгера. Он есть только в версии Enterprise, которая не всем по карману. Оказывается этот недостаток можно устранить очень легко и, главное, очень эффективно. В самом OSSIM для этого уже почти всё есть, надо только научиться использовать и чуть-чуть добавить. А поможет нам в этом MongoDB…

ORAMON переписан

Полностью переписал код. Сделал его в два раза короче и, надеюсь, понятнее. Больше событий регистрируется в ossim_log. Всё залил на https://bitbucket.org/esguardian/oramon/. Это будет рабочая бета. Дальше буду изменять в новой ветке.

ORAMON

Монитор журнала аудита ORACLE Что это? Зачем это? Всё началось с желания получить на OSSIM более приличный журнал доступа к СУБД ORACLE. Более приличный, чем получается по сислогу. Это значит, что нужно читать его из базы данных, из вьюхи DBA_AUDIT_TRAIL. Но, вот беда, database плагины OSSIM не умеют читать из БД ORACLE. Точнее говоря, чтобы…

OSSIM. Обзор.

OSSIM — пользуемся комплексной Open Source системой управления безопасностью. Эта статья написана под впечатлением от опубликованной на Хабре OSSIM — разворачиваем комплексную open source систему управления безопасностью и предназначалась для публикации там же, но поскольку Хабр отказывается её публиковать, пусть будет здесь. Я не буду повторяться и описывать сам процесс установки системы. Я хочу только…

Zecurion Zgate плагин для OSSIM

Слил ветку v.2.1.0 своего репозитария доработок OSSIM с master и добавил плагин для Zecurion Zgate. Кстати, я решил переходить на русский язык во всех своих плагинах. Раздражает меня латиница на консоли. Впрочем, меня еще многое раздражает в OSSIM. Я уже серьезно задумываюсь его форкнуть. Посмотрим. Пока не решил. https://bitbucket.org/esguardian/ossim/src

Новая версия модуля управления конфигурациями ИБ для iTop

Существенно обновил свой модуль Security Object Management для iTop https://bitbucket.org/esguardian/itop-extensions/overview. Кроме доделки управления ролями (добавлены шаблоны ролей), сделал систему управления чек-листами. Получилась очень удобная система консолидации требований различных стандартов ИБ и просто своих собственных правил, и отражения их в существующей системе управления конфигурациями. Подробно описывать не хочу. Это лучше попробовать. Коротко приведу выдержку readme. Разумеется…

Модуль ITOP для управления конфигурациями объектов ИБ.

Самая главная проблема компьютерной безопасности — отсутствие достоверной информации о конфигурации инфраструктуры, которые вы намерены обезопасить. Редчайший случай, когда процесс управления конфигурациями в ИТ внедрен и работает. А, кто пытался решать эту проблему, знает, что без специального инструментария под названием CMDB обойтись очень сложно. Документировать целиком конфигурацию сколько-нибудь крупной системы — сизифов труд. Отдельные фрагменты…

Собрал репозитарий доработок OSSIM

Вот. Собрал всё вместе на https://bitbucket.org/esguardian/ossim. На гитхабе не очень получается, что-то там плохо совсем с кодировкой cp1251. Так я и не въехал, как ему объяснить, что нельзя мне utf-8 строки писать. А на битбакете вроде терпимо. Тоже иногда косячит по неясной причине, но в raw, по крайней мере, всё правильно рисует. А работать с ними…