• OSSIM + SEC

      Не знаю как вам, а мне в продукте Alienvault OSSIM (USM) всегда не хватало гибкости в настройке правил корреляции. Т.е. возможность-то такая есть, и позиционируется решение как “комбайн” в составе которого есть и SIEM компонент. Но возможности данного SIEM в части корреляции на данный момент весьма и весьма ограничены. Искренне надеюсь, что в будущих релизах разработчики добавят хотя-бы какое-то подобие lookup/active списков ну и как минимум возможность корреляции не только по полям DST_IP, SRC_IP, DST_PORT, SRC_PORT.

      А пока же пришла мне в голову идея использовать SEC (Simple Event Correlator) для расширения функционала корреляции событий ИБ в OSSIM/USM.
      Читать дальше →
    • OSSIM. WMI плагины с хрустящей корочкой. Рецепт

        Доброго времени суток, уважаемые читатели.

        Хочу поделиться с Вами своими экспериментами по сбору журналов событий Windows в OSSIM без использования агентов, т.е. с помощью WMI плагинов.
        Читать дальше →
      • OSSEC заметка по настройке парсеров (decoders)

          Приветствую уважаемое сообщество. В данной статье я хочу описать несколько важных (на мой взгляд) моментов, которые нужно иметь ввиду при настройке программного обеспечения OSSEC (HIDS, SIEM система). Официальная документация по системе представлена в достаточно большом объеме на просторах сети, однако некоторые важные моменты абсолютно нигде не описываются. В качестве «путевых заметок» приведу их ниже. Сразу оговорюсь, что описывать установку системы, развертывание агентов, первичную настройку я не буду. Т.е. предполагаю, что читатель уже знает, что такое decoder и rule в контексте OSSEC. Все нижеперечисленное было проверено на версии по 2.8.1, возможно в будущих версиях это пофиксят. Итак, в бой.
          Читать дальше →
        • Самодельная охранная система на базе продуктов для умного дома от Ноотехника

          Доброго дня, уважаемое сообщество. Хочу поделиться с Вами экспериментом в области реализации охранной системы для дома на базе устройств для умного дома от компании Ноотехника. Сразу хочу оговориться, что это один из первых опытов, и целью его я ставлю перед собой не «построение неприступного бастиона», а демонстрацию возможностей использования выбранных мной устройств, эксперимент и извлечение уроков, а также получение от Вас обратной связи.

          Если кратко, то проектируемая мной система должна в режиме постановки на охрану фотографировать каждого приблизившегося к входной двери человека и отправлять фото на адрес электронной почты, а также отправлять сообщение электронной почты в случае регистрации движения в прихожей (т.е. наличия движения внутри квартиры).
          Читать дальше →
        • Умный дом NooLite. Сценарий №1 — «Хозяин дома»

            Доброго дня, уважаемое сообщество.

            Сегодня хочу поделиться с Вами опытом построения умного с использованием оборудования компании НооТехника, а если точнее, то реализации сценария «Хозяин дома». Что я под этим понимаю? Запуск особого «сценария», в момент прихода домой «хозяина». Под хозяином в данном случае понимаю самого себя, а сценарий состоит из включения источников света в зоне прихожей и декоративного освещения в других комнатах.
            Читать дальше →
          • OSSIM. Создание простого плагина для разбора логов

              Данный материал будет полезен начинающим администраторам, проявляющим интерес к системе OSSIM.
              Установка системы уже была подробно описана на хабре, поэтому на данном моменте я останавливаться не буду.
              В статье описана процедура написания плагина для обработки журналов событий, получаемых системой OSSIM по протоколу syslog от приложения, работающего на удаленной машине. Здесь следует отметить, что данное приложение не поддерживается OSSIM "из коробки". Таким образом, данная инструкция подойдет для разработки плагина для любого Вашего приложения, которое для передачи журналов событий использует протокол syslog.

              Читать дальше →
            • MongoDB в качестве логгера для OSSIM

                Доброго дня, уважаемые читатели! Эта статья задумывалась мной как дополнение к замечательной статье Евгения Соколова об использовании MongoDB в качестве логгера для OSSIM (т.е. долгосрочного хранилища журналов событий).
                Читать дальше →
              • Использование custom functions в парсерах OSSIM

                  Доброго дня, уважаемые!
                  В продолжение моей статьи хочу рассмотреть и поделиться опытом работы с функционалом «custom functions», используемом в OSSIM. Это функции, которые предназначены для обработки полученной вследствие разбора (парсинга) журналов событий информации. Обработка может заключаться в разрешении имени по IP адресу, определении геолокации и всего того, на что хватит фантазии. В примере ниже я разберу вариант использования «custom functions» для дополнительного парсинга полученной информации.
                  Читать дальше →
                • Создание плагина OSSIM для сбора логов из базы данных

                    1. Для чего это нужно?


                    Предположим, у вас есть приложение, которое ведет запись журналов событий в базу данных(например, Kaspersky Security Center, Symantec Endpoint Security Server, и многие другие) и вы хотите собирать эти журналы с помощью SIEM системы Alienvault OSSIM (USM), но в поставке «из коробки» OSSIM не умеет собирать и парсить логи Вашего приложения.
                    Читать дальше →
                  • Сбор логов межсетевого экрана Checkpoint (OPSEC LEA)

                      OPSEC LEA (Log Export API) – интерфейс, позволяющий получать логи с сервера управления (Checkpoint SmartCenter).
                      В основе OPSEC LEA лежит клиент-серверная архитектура. В качестве сервера выступает Checkpoint SmartCenter, который слушает входящие соединения на порт 18184 ТСР (по-умолчанию). Клиент OPSEC LEA подключается к Серверу на вышеуказанный порт и получает логи.
                      Fw1-loggrabber – программное обеспечение, поддерживающее OPSEC LEA, и предназначенное для получения логов с серверов управления (Checkpoint SmartCenter – далее SC). Fw1-loggrabber может выводить полученные логи на экран, перенаправлять в файл или в syslog.
                      Существуют версии данного ПО как под Linux, так и под Windows (под windows не поддерживается вывод в syslog).
                      Дано:
                      • Сервер управления Checkpoint. Версия ПО Checkpoint – R77.30 (sc.local);
                      • Сервер с CentOS 6.6 (loggraber.local);
                      • Syslog сервер (syslog.local).

                      Задача:


                      получить логи c SC и передать их по протоколу syslog на внешний syslog сервер.
                      Читать дальше →
                    • Сборка и настройка FreeRADIUS 3 с поддержкой SQLITE

                        Доброго дня, уважаемые.
                        Хочу поделиться с Вами решением одной творческой задачи. Надеюсь кому-то будет полезно.
                        Итак,

                        ДАНО:


                        маломощная железка с arm процессором и собранный под нее и установленный Debian 7 wheezy.

                        ЗАДАЧА:


                        поставить FreeRADIUS 3.0.X, настроить его на работу с БД SQLITE. Т.е., учетные записи пользователей (которых нужно аутентифицировать) RADIUS должен брать из БД SQLITE.
                        Читать дальше →
                        • +11
                        • 20.3k
                        • 2
                      • Freeradius. Поддержка различных типов аутентификации пользователей одновременно

                          В данной статье хотелось бы поделиться своим опытом по настройке freeradius в части поддержки различных типов аутентификации пользователей.

                          К сожалению, столкнувшись с данной проблемой, я не смог найти готового решения на просторах гуглов и прочих яндексов, и поэтому раскуривал маны самостоятельно.
                          Читать дальше →
                        • LinOTP+RADIUS. Аутентификация с помощью одноразовых паролей

                          1. Основные сведения


                          В данной инструкции описывается процесс интеграции LinOTP и FreeRadius на машинах под управлением CentOS а также настройка аутентификации пользователей SSH по ОТР, сгенерированному с помощью программного обеспечения Google Authenticator (или любого, использующий аналогичный алгоритм).
                          Читать дальше →