Факультатив по настройке OSSEC

Доброго всем здоровья! В данной статье я хочу описать несколько важных (на мой взгляд) моментов, которые нужно иметь ввиду при настройке программного обеспечения OSSEC (HIDS, SIEM система). Официальная документация по системе представлена в достаточно большом объеме на просторах сети, однако некоторые важные моменты абсолютно нигде не описываются. В качестве «путевых заметок» приведу их ниже.

Читать далее


Сбор логов с Windows по WMI. Спасительное зло.

В жизни каждого наступает тот самый момент, когда нет возможности собирать логи с Windows сервера, установив на него маленький и легковесный агент OSSEC, который не только собирает логи, но и выполняет контроль целостности, обнаружение вторжений и многое другое.

Читать далее


Активные списки в OSSIM

Доброго времени суток, уважаемые читатели! В этой статье хочу рассказать о реализации функционала активных списков, или как его называют на-английском — «active lists», в системах OSSIM/USM.

Читать далее


OSSIM. Создание простого плагина для разбора syslog

Данный материал будет полезен начинающим администраторам, проявляющим интерес к системе OSSIM. Установка системы уже была подробно описана на хабре, поэтому на данном моменте я останавливаться не буду. В статье описана процедура написания плагина для обработки журналов событий, получаемых системой OSSIM по протоколу syslog от приложения, работающего на удаленной машине.

Читать далее


MongoDB в качестве логгера для OSSIM

Доброго дня, уважаемые читатели! Эта статья задумывалась мной как дополнение к замечательной статье Евгения Соколова об использовании MongoDB в качестве логгера для OSSIM (т.е. долгосрочного хранилища журналов событий). Я дополнил оригинальную статью Евгения комментариями и разъяснениями, где, на мой взгляд, это было необходимо для лучшего понимания.

Читать далее


Функционал custom functions в парсерах OSSIM

Доброго дня, уважаемые! В продолжение моей статьи хочу рассмотреть и поделиться опытом работы с функционалом «custom functions», используемом в OSSIM. Это функции, которые предназначены для обработки полученной вследствие разбора (парсинга) журналов событий информации. Обработка может заключаться в разрешении имени по IP адресу, определении геолокации и всего того, на что хватит фантазии. В примере ниже я […]

Читать далее