reklama

Výběr SIEM - jak sledujete, co se děje v síti?

karel

Výběr SIEM - jak sledujete, co se děje v síti?
« kdy: 29. 05. 2018, 12:08:44 »
Jak prosim sledujete kdo vam utoci na vase zarizeni a co se deje  ve vasi siti?
Prosim o info jake mete zkusenosti se SIEM open source nastroji? 

Rad bych sledoval zejmena kdo se mi snazi opakovane neuspesne  prihlasit na zarizeni ci jake z mych zarizeni komunikuje co drive komunikovalo napr. Botnet IP. Pozadavky jsou komplexnejsi, ale toto je zaklad. Monitoring dostupnosti technologii resi v zasade k nasi spokojenosti zabbix.  Pekny clanek jsem nasel zde:https://devops.com/5-open-source-siem-tools-worth-checking-out/.  Mame cca 50 virtulanich serveru/dockeru s open source technologiemi a v radu stovek mikrotik routeru.

Testovane technologie:

-https://www.elastic.co/elk-stack:  sem zasilame logy-zde je asi budem i naladale shromazdovat pro budouci hlledani analyzi, alarmy - za mne pekne reseni, leckdy doporucovane jako uloziste pro SIEM systemy, nejaky cas jsme ztravily nez zacalo bezet stabilne

-https://www.splunk.com/ - pry jedne z nejrozsirejsich SIEM, free verze nema alerty-coz vadi a omezeni max 500GB denne -nevadi, za mne rozumna cenova politika i u komercni verze

-https://www.alienvault.com/products/ossim - vypada take zajimave zejmena s ohledem na https://otx.alienvault.com/, valcime s nacitamim syslogu, drazsi komercni verze

-http://www.ossec.net/ zatim nevyzkoseno

-Flow Tools  - https://www.systutorials.com/docs/linux/man/1-flow-tools/ -uvazujem pro ukladani Net Flow -aby nam to nezatelozavlo ELK - vase doporuceni zejmena idealne s heldanim pres web FrontEnd a ukladanim Net Flow do kompresenych souboru ci nejak usporne
« Poslední změna: 29. 05. 2018, 12:35:59 od Petr Krčmář »

reklama


kkt1

  • *****
  • 796
    • Zobrazit profil
Re:Vyber SIEM - jak sledujete co se deje v siti ?
« Odpověď #1 kdy: 29. 05. 2018, 12:27:16 »
splunk mame, cenova politika je silena, tool ok... Bugfixing vicemene nefunguje, na nektere zaplaty jsme cekali mesice. Jinak historicky mam zkusenosti se snortem a nestezuji si (asi 150 siti s celkove 2000+ stroji).

Edit admin: Necitujte celé příspěvky nad sebou, zhoršuje to přehlednost.
« Poslední změna: 29. 05. 2018, 12:35:28 od Petr Krčmář »

DK

Re:Výběr SIEM - jak sledujete, co se děje v síti?
« Odpověď #2 kdy: 29. 05. 2018, 14:16:49 »
Pouzivame GrayLog, vicemene nadstavba na Elasticem (pridava to, co v Elasticu je jenom v placene verzi)

osulud

Potřeboval bych podobný program. Chci zařízení připojit xíti. (Přes hostednetwork na notebooku a ethernet). Jaký sw mám nainstalovat na daný "průtokový notebook", abych mohl v reálném čase  sledovat a měnit:
-dotazy na DNS, sledovat, zamítnout, vrátit jinou odpověď
-povolit traffic tcp na daný hostname
- dešifrovat https, opět sledovat, možnost zamítnout traffic, ihned nebo až poté co uvidím první request ze zařízení ven.
-možnost vidět  a zaznamenat odchozí traffic, ale nepustit ho ven
- možnost příchozí  traffic zaznamenat bbokem, ale "nepustit" do zařízení
- možnost podstrčit svůj "fake" příchozí traffic jakožto odpověď na daný odchozí trafic (koukám, už je to v podstatě proxy , ale aby to bylo i pro jiné protokoly) Avšak aby to bylo nějak "uživatelsky přijěmně konfigurovatelné" s ohledem na 2 body výše . Abych se nezanořil do psaní nějakého proxy serveru(myslet na https), ale aby to nějak bylo interaktivní.
- v reálném čase vytvářet pravidla (ve výchozím stavu bude vše zakázané, budu postupně zjišťovat kam chce komunikovat a selektivně povolovat cíle, porty, pak podle toho co uvdím, co odchází, na základě toho se rozhodnu, zda to pustím ven, pak uvidím, co přichází, rozhodnu se, zda to pustím do zařízení)

*Asi uplně "v reálném čase to nepůjde". (Jak moc zařízení má timeout na tcp pro reálný čas)  ale například když budu zjistím, že tady něco chce komunikovat, tak si to poznamenám do pravidel a zařízení restartuji.


Proč proboha musím "Souhlasím se zpracováním osobních údajů za účelem zapojení se do diskuse na fóru" u každého příspěvku? Dřív to šlo bez toho.

karel

Re:Výběr SIEM - jak sledujete, co se děje v síti?
« Odpověď #4 kdy: 30. 05. 2018, 11:03:54 »
dekuji za zpetnou vazbu:
-kkt1 --mate pravdu kdyz na prvni pohled vypada splunk dostupne, ale jak se zapoctou data tak je velice drahy
--snort jsem myslel, ze ted nahrazuje suricata

-DK- dekuji za info o GrayLog. Ten pridava k ELK uzivatele a alerty nebo jeste neco jineho? Nasel jsme spravne omezni bezplatne verze na 5Gb dat denne?

-osulud- domnivam, se ze hledate jinou funkcionalotu


DK

Re:Výběr SIEM - jak sledujete, co se děje v síti?
« Odpověď #5 kdy: 30. 05. 2018, 11:51:05 »
GrayLog Enterprise ma toto omezeni (mel by tam byt navic nejaky auditing a dalsi "enterprise features"), OSS varianta je neomezena. Krome uzivatelu a alertu ma taky vsechny rozdilne moznosti vstupu dat (od syslogu, pres ruzne bezne systemy az po ingest dat z ruznych MQ) a muze ty data filtrovat a predavat dal.

Cipisek

Re:Výběr SIEM - jak sledujete, co se děje v síti?
« Odpověď #6 kdy: 30. 05. 2018, 19:06:22 »
Pro mensi firmicku mohu doporucit turrise a jejich PAKONe

karel

Re:Výběr SIEM - jak sledujete, co se děje v síti?
« Odpověď #7 kdy: 04. 06. 2018, 07:17:45 »
i na zaklade zpetne vazby zde zkousime jako SIEM / LOGmanagenet kombinaci:
-OSSIM -https://www.alienvault.com/products/ossim -jako opensource siem
-ELK -https://www.elastic.co/elk-stack - pro ukladani udalosti
-graylog.org jako nadstavba nad ELK

Budu vdecny za vase zkusenosti s nasazenim i jednotlivych programu. Zejmena OSSIM/SIEM obecne  je pro nas neprobadane pole. pokud mate zkusenost budu vdecny i za honorovanou konzultaci. Osobne/telefon/skype kontak:karel.zem@email.cz

Re:Výběr SIEM - jak sledujete, co se děje v síti?
« Odpověď #8 kdy: 04. 06. 2018, 07:35:54 »
Používáme ELK stack s tím, že alerty a přehledy generují skripty, které jsme si napsali.

Jirka4515121

Re:Výběr SIEM - jak sledujete, co se děje v síti?
« Odpověď #9 kdy: 17. 12. 2018, 12:17:51 »
U nas pouzivame LOGmanager (ISP).

Proti ostatnim je prijemna cenova politika a navic to funguje jako appliance = zadne starosti s rozchazenim, aktualizacema apod...

Obecny popis maji na logmanager.cz

 

reklama