Checkpoint to Logstash

Настройка сбора логов CheckPoint FW-1 на ELK Вступление Я давно ничего нового не писал и совсем забросил свой LittleBeat. Нет, не забросил. Просто я сменил место работы и последние два месяца занят выше крыши. Но есть надежда, что LittleBeat обретет второе дыхание. Компания, в которой я сейчас работаю, совсем не против поддержки этого Open Source…

Elastic и Python. Поиск в списке индексов.

На днях столкнулся с интересной проблемой. Используя модуль elasticsearch для Python захотел задать поиск в списке индексов. Конкретно хочу искать данные за несколько последних суток. Понятно, что можно использовать range в фильтре запроса, но зачем? Ведь у меня индексы разбиты по дням, достаточно задать список индексов для поиска. Но как его задать правильно в параметрах…

Elastic для маленьких. Оптимизируем для небольшой компании.

В сети можно найти много ресурсов о том, как оптимизировать крупные кластеры Elasticsearch. И ничего нет об оптимизации маленьких кластеров, тем более совсем никаких не кластеров, а просто одного узла. Тем не менее, в конфигурации «по умолчанию» ваш узел Elasticsearch продержится не долго. Думаю, и неделю не простоит. Надо менять параметры конфигурации. К сожалению, менять их «тупо»…

Логи Windows на ELK

Это, конечно, не сложно. Может и не стоило бы об этом писать, но я больше хотел обратить внимание на развертывание системы посредством MS System Center. Будем использовать последнюю версию Winlogbeat. Сейчас последняя версия — 5.1.1. Качаем отсюда https://www.elastic.co/downloads/beats/winlogbeat два варианта: 32-х и 64-x разрядные. На System Center делаем шару winlogbeat для everyone и внутри неё…

Upgrade ELK to 5.0

Как проводить апгрейд Во-первых, запишите новый адрес и ключ реапозитария ELK и установите apt-transport https Во-вторых, остановите все сервисы ELK. Я обновлял elasticsearch простой переустановкой, файлы конфигурации будут сохранены (там вопрос будет, обновлять или нет, по умолчанию — нет). А вот logstash я обновлял апгрейдом. Я думал, что обновится только logstash, а нет. Обновились сразу…

ORAMON переписан

Полностью переписал код. Сделал его в два раза короче и, надеюсь, понятнее. Больше событий регистрируется в ossim_log. Всё залил на https://bitbucket.org/esguardian/oramon/. Это будет рабочая бета. Дальше буду изменять в новой ветке.

ORAMON

Монитор журнала аудита ORACLE Что это? Зачем это? Всё началось с желания получить на OSSIM более приличный журнал доступа к СУБД ORACLE. Более приличный, чем получается по сислогу. Это значит, что нужно читать его из базы данных, из вьюхи DBA_AUDIT_TRAIL. Но, вот беда, database плагины OSSIM не умеют читать из БД ORACLE. Точнее говоря, чтобы…

Новая версия модуля управления конфигурациями ИБ для iTop

Существенно обновил свой модуль Security Object Management для iTop https://bitbucket.org/esguardian/itop-extensions/overview. Кроме доделки управления ролями (добавлены шаблоны ролей), сделал систему управления чек-листами. Получилась очень удобная система консолидации требований различных стандартов ИБ и просто своих собственных правил, и отражения их в существующей системе управления конфигурациями. Подробно описывать не хочу. Это лучше попробовать. Коротко приведу выдержку readme. Разумеется…

Модуль ITOP для управления конфигурациями объектов ИБ.

Самая главная проблема компьютерной безопасности — отсутствие достоверной информации о конфигурации инфраструктуры, которые вы намерены обезопасить. Редчайший случай, когда процесс управления конфигурациями в ИТ внедрен и работает. А, кто пытался решать эту проблему, знает, что без специального инструментария под названием CMDB обойтись очень сложно. Документировать целиком конфигурацию сколько-нибудь крупной системы — сизифов труд. Отдельные фрагменты…