Вітаю шановне товариство. У цій статті я хочу описати кілька важливих (на мій погляд) моментів, які потрібно мати на увазі при налаштуванні програмного забезпечення OSSEC (HIDS, SIEM система). Офіційна документація по системі представлена в досить великому обсязі на просторах мережі, однак деякі важливі моменти абсолютно ніде не описуються. У якості «подорожніх нотаток» наведу нижче. Відразу обмовлюся, що описувати установку системи, розгортання агентів, первинну настройку я не буду. Тобто припускаю, що читач вже знає, що таке decoder і rule в контексті OSSEC. Все нижчеперелічене було перевірено на версії з 2.8.1, можливо в майбутніх версіях це пофиксят. Отже, в бій.

Читати далі →

Інструкція: впроваджуємо HIDS OSSEC

OSSEC (Open Source Host-based Intrusion Detection System) – це хостова система виявлення вторгнень. Якщо у вас з'явилася завдання перевірки контролю цілісності файлів на ваших серверах, логування різних дій на серверах, отримання подій безпеки з ваших серверів (а також будь-яких інших) і оповіщень про ці події, виведення різних звітів і багато іншого, то HIDS OSSEC — відмінне рішення під ці завдання. OSSEC може працювати локально, за схемою агент + сервер і гібридному режимі (агент->сервер->сервер). Ми будемо розглядати схему агент + сервер і роботу в гібридному режимі.

Зміст

Установка OSSEC
Параметри конфігураційного файлу OSSEC
Додавання агентів
Параметри конфігураційного файлу для агентів
Email оповіщення
Робота з агентами та отримання звітів
Вивід даних в інші системи
Робота OSSEC в гібридному режимі

Установка OSSEC

Встановимо на ОС Ubuntu 14.04 Встановимо необхідні пакети для установки OSSEC:

Читати далі →

OSSIM - розгортаємо кращу комплексну open source систему управління безпекою


OSSIM (Open Source Information Security Management) — система управління, контролю та забезпечення інформаційної безпеки.
OSSIM «з коробки» включає в себе такий функціонал як:
  • Збір, аналіз і кореляція подій — SIEM
  • Хостова система запобігання вторгнень (HIDS) — OSSEC
  • Мережева система запобігання вторгнень (NIDS) — Suricata
  • Бездротова система запобігання вторгнень (WIDS) — Kismet
  • Моніторинг вузлів мережі- Nagios
  • Аналіз мережевих аномалій — P0f, PADS, FProbe, Arpwatch та ін
  • Сканер вразливостей — OpenVAS
  • Найпотужніша система обміну інформацією про погрози між користувачами OSSIM — OTX
  • Більше 200 плагінів для парсингу і кореляції логів з різних зовнішніх пристроїв і служб
І це далеко не все, що вміє робити OSSIM, встановлення якого займе не більше 15 хвилин, в чому Ви можете переконатися самі!

Читати далі →