Всем привет.
Однако для ELK придумали более интересное применение. Некая фирма Stamus пошла дальше и соединила ELK с современной Suricata IPS. На гора вышел Live ISO SELKS.
Популярное на сегодня понятие SIEM (Security information and event management) - объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) - управление информационной безопасностью, и SEM (Security event management) - управление событиями безопасности. Технология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.
Среди топовых SIEM можно назвать ArcSight, QRadar, Splunk, Qualys и MaxPatrol. Они все платные.
Любители бесплатных решений используют так называеемый ELK stack (Logstash+Elasticsearch+Kibana):
- Logstash - сбор логов
- Elasticsearch - хранение и быстрый поиск по логам
- Kibana - визуализация
По идее в SIEM каждый администратор хочет видеть через графический интерфейс, что у него хранится в различных логах. Например, при проведении нагрузочного тестирования это позволяет получать больше информации о работе системы, а значит, повышается качество тестирования.
Как полнять ELK хорошо описано здесь - Введение в ELK: собираем, фильтруем и анализируем большие данные
SELKS является как Live так и инсталлируемым стандартом управления сетевой безопасностью на основе Debian и фокусируется на полной и готовой к использованию экосистеме Suricata IDS/IPS со своим собственным менеджером графических правил. От начала до получения результата IDS/IPS и NSM за 30 секунд.
Название SELKS происходит от его основных компонентов: Suricata, Elasticsearch, Logstash, Kibana, Scirius, EveBox. Из новых тут Scirius и EveBox.
После запуска или установки SELKS вы получаете запущенную систему предотвращения вторжений и обнаружения Suricata на платформе NSM, Kibana для анализа предупреждений и событий, EveBox для корреляции потоков, архивирования/комментариев по событиям, отчетов и загрузки pcap. Существует также пакет Scirius для настройки и управления набором правил Suricata.
Scirius - это веб-интерфейс, предназначенный для управления набором правил Suricata. Он управляет файлами / категориями правил. Источниками набора правил могут быть локальные (загруженные файлы) или удаленные файлы (архив, доступный через HTTP или HTTPS, например, новый набор правил для открытых угроз).
Scirius - это приложение, написанное на Django. Scirius выпускается под лицензией GPLv3. Источники, трекер ошибок и вики размещаются на GitHub. Собственно из-за своего Scirius кампания и собрала SELKS.
SELKS набор хороший и бесплатный, главное его разумно использовать.
Удачи.
No comments:
Post a Comment
А что вы думаете по этому поводу?