Активные списки в OSSIM

active-lists-rus-1

Доброго времени суток, уважаемые читатели! В этой статье хочу рассказать о реализации функционала активных списков, или как его называют на-английском — «active lists», в системах OSSIM/USM.

Читать далее


OSSIM. Создание простого плагина для разбора syslog

Данный материал будет полезен начинающим администраторам, проявляющим интерес к системе OSSIM. Установка системы уже была подробно описана на хабре, поэтому на данном моменте я останавливаться не буду. В статье описана процедура написания плагина для обработки журналов событий, получаемых системой OSSIM по протоколу syslog от приложения, работающего на удаленной машине.

Читать далее


MongoDB в качестве логгера для OSSIM

loggers

Доброго дня, уважаемые читатели! Эта статья задумывалась мной как дополнение к замечательной статье Евгения Соколова об использовании MongoDB в качестве логгера для OSSIM (т.е. долгосрочного хранилища журналов событий). Я дополнил оригинальную статью Евгения комментариями и разъяснениями, где, на мой взгляд, это было необходимо для лучшего понимания.

Читать далее


Функционал custom functions в парсерах OSSIM

function-machine-picture

Доброго дня, уважаемые! В продолжение моей статьи хочу рассмотреть и поделиться опытом работы с функционалом «custom functions», используемом в OSSIM. Это функции, которые предназначены для обработки полученной вследствие разбора (парсинга) журналов событий информации. Обработка может заключаться в разрешении имени по IP адресу, определении геолокации и всего того, на что хватит фантазии. В примере ниже я […]

Читать далее


Создание плагина OSSIM для сбора логов из базы данных

sqls

Данная статья ранее была уже опубликована мной на habrahabr.ru. 1. Для чего это нужно? Предположим, у вас есть приложение, которое ведет запись журналов событий в базу данных(например, Kaspersky Security Center, Symantec Endpoint Security Server, и многие другие) и вы хотите собирать эти журналы с помощью SIEM системы Alienvault OSSIM (USM), но в поставке «из коробки» […]

Читать далее


Поехали!

gagarin

Здравствуйте, дорогие гости! Рад приветствовать Вас на страницах блога, посвященного системам класса SIEM от Alienvault: Open Source Security Information Manager (OSSIM) и Unified Security Manager (USM). Планирую размещать здесь технические статьи по настройке и интеграции вышеупомянутых систем в информационные инфраструктуры предприятий. Единомышленников и любителей OSSIM и USM приглашаю присоединяться и, при желании, также делиться знаниями. […]

Читать далее