Сбор логов из облачного хранилища LogEntries

Исторически так сложилось, что многие части ИТ инфраструктуры сегодня можно получать как сервисы. Тут и Active Directory, и почта, и сбор и хранение журналов событий. Об одном из таких сервисов и пойдет дальше речь. Вернее даже не о самом сервисе, а о том, как можно тянуть из него журналы событий для обработки в свой SIEM.

Continue reading


Еще не пользуетесь Windows Event Forwarding? — Тогда мы идем к вам!

Какие есть механизмы сбора журналов событий в OSSIM с серверов и рабочих станций под управлением ОС Windows? Сам производитель заявляет безагентский сбор с помощью интерфейса WMI, который, к слову, не является рекомендуемым вариантом т.к. данный механизм сбора ресурсоемкий и на больших потоках событий работает не стабильно. Ведь интерфейс WMI изначально не предназначен, для сбора журналов […]

Continue reading


Фильтры Rsyslog на службе OSSIM

Казалось бы, подключение источников, передающих журналы событий по протоколу Syslog и поддержка которых была объявлена производителем системы «из коробки» должна происходить что называется «в пару кликов». Вроде включил плагин соответствующего источника через веб-интерфейс или через консоль и все должно «завестись». Логично? Да, но не всегда…

Continue reading


Правила OSSEC, правила OSSIM, WTF ???

Знакомясь с интерфейсом OSSIM (USM), можно натолкнуться на некоторые его особенности, которые по-началу вводят в ступор и создают недопонимание пользователя. Об одной из таких вещей хочу поговорить отдельно, а именно правилах OSSEC и правилах (точнее, директивах, OSSIM) и о том как они связаны.

Continue reading


Факультатив по настройке OSSEC

Доброго всем здоровья! В данной статье я хочу описать несколько важных (на мой взгляд) моментов, которые нужно иметь ввиду при настройке программного обеспечения OSSEC (HIDS, SIEM система). Официальная документация по системе представлена в достаточно большом объеме на просторах сети, однако некоторые важные моменты абсолютно нигде не описываются. В качестве «путевых заметок» приведу их ниже.

Continue reading


OSSIM. Создание простого плагина для разбора syslog

Данный материал будет полезен начинающим администраторам, проявляющим интерес к системе OSSIM. Установка системы уже была подробно описана на хабре, поэтому на данном моменте я останавливаться не буду. В статье описана процедура написания плагина для обработки журналов событий, получаемых системой OSSIM по протоколу syslog от приложения, работающего на удаленной машине.

Continue reading


MongoDB в качестве логгера для OSSIM

Доброго дня, уважаемые читатели! Эта статья задумывалась мной как дополнение к замечательной статье Евгения Соколова об использовании MongoDB в качестве логгера для OSSIM (т.е. долгосрочного хранилища журналов событий). Я дополнил оригинальную статью Евгения комментариями и разъяснениями, где, на мой взгляд, это было необходимо для лучшего понимания.

Continue reading


Функционал custom functions в парсерах OSSIM

Доброго дня, уважаемые! В продолжение моей статьи хочу рассмотреть и поделиться опытом работы с функционалом «custom functions», используемом в OSSIM. Это функции, которые предназначены для обработки полученной вследствие разбора (парсинга) журналов событий информации. Обработка может заключаться в разрешении имени по IP адресу, определении геолокации и всего того, на что хватит фантазии. В примере ниже я […]

Continue reading