Создание Windows EventLog Channel

В предыдущей статье по теме Windows Event Forwarding я описывал настройку подписки и клиентских машин, которые отправляют логи по данной подписке на сервер. Как же быть, если подписок на сервере у нас несколько – для разных групп хостов, например – для серверов и рабочих станций. А еще есть необходимость разделять логи security и логи приложений […]

Continue reading


Сбор логов из облачного хранилища LogEntries

Исторически так сложилось, что многие части ИТ инфраструктуры сегодня можно получать как сервисы. Тут и Active Directory, и почта, и сбор и хранение журналов событий. Об одном из таких сервисов и пойдет дальше речь. Вернее даже не о самом сервисе, а о том, как можно тянуть из него журналы событий для обработки в свой SIEM.

Continue reading


Еще не пользуетесь Windows Event Forwarding? — Тогда мы идем к вам!

Какие есть механизмы сбора журналов событий в OSSIM с серверов и рабочих станций под управлением ОС Windows? Сам производитель заявляет безагентский сбор с помощью интерфейса WMI, который, к слову, не является рекомендуемым вариантом т.к. данный механизм сбора ресурсоемкий и на больших потоках событий работает не стабильно. Ведь интерфейс WMI изначально не предназначен, для сбора журналов […]

Continue reading


Фильтры Rsyslog на службе OSSIM

Казалось бы, подключение источников, передающих журналы событий по протоколу Syslog и поддержка которых была объявлена производителем системы «из коробки» должна происходить что называется «в пару кликов». Вроде включил плагин соответствующего источника через веб-интерфейс или через консоль и все должно «завестись». Логично? Да, но не всегда…

Continue reading


Правила OSSEC, правила OSSIM, WTF ???

Знакомясь с интерфейсом OSSIM (USM), можно натолкнуться на некоторые его особенности, которые по-началу вводят в ступор и создают недопонимание пользователя. Об одной из таких вещей хочу поговорить отдельно, а именно правилах OSSEC и правилах (точнее, директивах, OSSIM) и о том как они связаны.

Continue reading


# ИДЕЯ

Привет привет! Тэгом #ИДЕЯ буду отмечать интересные, на мой взгляд, соображения в части использования и новых наработок. Статьи с данным тэгом могут не содержать описание технического решения, или содержать его не полностью. Главное тут — ИДЕЯ.

Continue reading


Контроль устройств в Wi-Fi сети

Все IP адреса и имена хостов являются вымышленными. Любые совпадения с реальными – случайны. Доброго дня, уважаемые читатели и единомышленники. Сегодня я хочу рассказать о том, как выполняется мониторинг подключения клиентов к домашней Wi-Fi сети.

Continue reading


Свет мой, зеркальце, скажи… или одна история о port-mirroring

Доброго дня, уважаемые. Предвосхищая вопросы вроде «а нафига оно надо?», сразу отвечу — «по большому счету, нафиг не надо». Дома, на мой взгляд вполне достаточно хорошего антивируса на компьютерах, хорошо настроенного роутера со сложными паролями для ви-фи, ну и, самое главное, прямых рук самих пользователей (чтобы не открывать подозрительные файлы, не переходить по странным ссылкам). […]

Continue reading