LittleBeat

Почти готово. Два месяца над ним каждый вечер бьюсь. Это мне сразу в голову пришло после статейки «Elastic для маленьких». Скоро доделаю. Это типа трейлер. Появится в виде образа iso для автоматической установки на debian. Ну, и исходники тоже будут доступны.

ELK Отслеживание процессов Windows во всей сети

Что мы хотим получить? Мы хотим отслеживать какие программы (процессы) запускаются на windows-компьтерах нашего предприятия. На всех компьютерах, серверах и рабочих станциях. Мы хотим обнаруживать запуск неизвестных или опасных, на наш взгляд, процессов. Как мы этого добьемся? Мы будем использовать стек ELK для сбора логов аудита всех машин с помощью агента winlogbeat. Мы включим аудит…

Elastic для маленьких. Оптимизируем для небольшой компании.

В сети можно найти много ресурсов о том, как оптимизировать крупные кластеры Elasticsearch. И ничего нет об оптимизации маленьких кластеров, тем более совсем никаких не кластеров, а просто одного узла. Тем не менее, в конфигурации «по умолчанию» ваш узел Elasticsearch продержится не долго. Думаю, и неделю не простоит. Надо менять параметры конфигурации. К сожалению, менять их «тупо»…

Логи Windows на ELK

Это, конечно, не сложно. Может и не стоило бы об этом писать, но я больше хотел обратить внимание на развертывание системы посредством MS System Center. Будем использовать последнюю версию Winlogbeat. Сейчас последняя версия — 5.1.1. Качаем отсюда https://www.elastic.co/downloads/beats/winlogbeat два варианта: 32-х и 64-x разрядные. На System Center делаем шару winlogbeat для everyone и внутри неё…

Upgrade ELK to 5.0

Как проводить апгрейд Во-первых, запишите новый адрес и ключ реапозитария ELK и установите apt-transport https Во-вторых, остановите все сервисы ELK. Я обновлял elasticsearch простой переустановкой, файлы конфигурации будут сохранены (там вопрос будет, обновлять или нет, по умолчанию — нет). А вот logstash я обновлял апгрейдом. Я думал, что обновится только logstash, а нет. Обновились сразу…

Заменяем OSSIM более простой конструкцией на основе ELK

Такая вот осенняя мысль закралась в мою голову. Заменить OSSIM чем-то более простым и более производительным. Чтобы не было «лишних» функций, например, собственно SIEM, и чтобы лучше работалось с «сырыми» логами. Я остановился на стеке Elasticsearch — Logstash — Kibana (ELK) в качестве хранилища, парсера, и средства просмотра и анализа логов. Основными компонентами OSSIM являются…

Logger для OSSIM. Как сделать бесплатно.

Одним из недостатков Open Source версии AlienVault OSSIM является отсутствие логгера. Он есть только в версии Enterprise, которая не всем по карману. Оказывается этот недостаток можно устранить очень легко и, главное, очень эффективно. В самом OSSIM для этого уже почти всё есть, надо только научиться использовать и чуть-чуть добавить. А поможет нам в этом MongoDB…

Новая версия модуля управления конфигурациями ИБ для iTop

Существенно обновил свой модуль Security Object Management для iTop https://bitbucket.org/esguardian/itop-extensions/overview. Кроме доделки управления ролями (добавлены шаблоны ролей), сделал систему управления чек-листами. Получилась очень удобная система консолидации требований различных стандартов ИБ и просто своих собственных правил, и отражения их в существующей системе управления конфигурациями. Подробно описывать не хочу. Это лучше попробовать. Коротко приведу выдержку readme. Разумеется…

Модуль ITOP для управления конфигурациями объектов ИБ.

Самая главная проблема компьютерной безопасности — отсутствие достоверной информации о конфигурации инфраструктуры, которые вы намерены обезопасить. Редчайший случай, когда процесс управления конфигурациями в ИТ внедрен и работает. А, кто пытался решать эту проблему, знает, что без специального инструментария под названием CMDB обойтись очень сложно. Документировать целиком конфигурацию сколько-нибудь крупной системы — сизифов труд. Отдельные фрагменты…