Checkpoint to Logstash

Настройка сбора логов CheckPoint FW-1 на ELK Вступление Я давно ничего нового не писал и совсем забросил свой LittleBeat. Нет, не забросил. Просто я сменил место работы и последние два месяца занят выше крыши. Но есть надежда, что LittleBeat обретет второе дыхание. Компания, в которой я сейчас работаю, совсем не против поддержки этого Open Source…

LittleBeat Wazuh Kibana App Russian

Небольшое косметическое изменение в LittleBeat 5.5.001 Wazuh Addon. Интерфейс плагина Wazuh переделан на русский язык. Addon теперь ставится с русской версией плагина. Если вы уже устанавливали addon и хотите поменять его на русскую версию это можно сделать с SSH консоли LittleBeat. В главной консоли выберите пункт «выход в shell» и наберите команды: Если вы, напротив,…

LittleBeat Wazuh Addon

Для LittleBeat 5.5.001 появился Wazuh Addon. Это добавляет к имеющимся возможностям обработки логов Windows аналогичные возможности для гетерогенной среды (Linux, Solaris, Mac OS X) и кое-что еще. Много всего. Wazuh — это форк OSSEC. На мой взгляд, сильно улучшенный. OSSEC — это хорошо известная в мире Host IDS. Wazuh много чего добавляет, например, аудит системы…

LittleBeat обновлен

Как видно на картинке, старенький LittleBeat переделан под новый стек ELK 5.5. Новую функциональность он пока не приобрел, но я над этим работаю. В планах добавить Host IDS и Network IDS (OSSEC и Suricata, соответственно). OSSEC будет не стандартный, а форк от Wazuh. Он получше будет, а еще у него есть RESTful API. Suricata будет…

AlienVault OSSIM and USM Русский язык в custom functions

Столкнулся с этим при написании одного плагина, который обрабатывает лог полностью на русском языке. И дата там в таком формате: 1 июня 2017 г. 10:23:30. Прикольно. Как сделать чтобы лог на русском обрабатывался правильно я уже здесь писал, например, в статье «OSSIM. Обзор». Надо просто дописать |encoding к строке с путем к файлу конфигурации плагина…

LittleBeat выпущен

Это готовый к работе аплаенс для сбора и анализа журналов событий Windows на базе стека ELK, предназначенный для небольших компаний (от 5 до 500 хостов). Для установки необходима виртуальная или физическая машина Debian 8. Рекомендуется минимальная установка системы с дистрибутива netinst с выбором только сервера SSH и стандартных системных утилит в качестве дополнительных опций. Во…