Я работаю над проектом агрегирования журналов и хотел добавить к этому несколько незначительных корреляций / аналитики безопасности.
В настоящее время у меня есть журналы с ~ 400 серверов, поступающие в ящик syslog-ng. Для этого я искал несколько программ, таких как SEC (Simple Event Correlator), OSSEC и т. Д. Что касается SEC, я мог бы легко заставить процесс следить за файлом (ами), в который я пишу, и получать от него предупреждения.
Однако мне пришлось бы встроить множество пользовательских правил, и не было бы красивого графического интерфейса, как у OSSEC.
Итак, я думал об использовании OSSEC в качестве локальной установки и вместо того, чтобы он обрабатывал все агенты, просто следил за файлами журнала и предупреждениями о поездках.
Я больше всего опасаюсь, что поскольку я не использую агентскую часть OSSEC, похоже, что единственным агентом является localhost, и поэтому он собирается объединить большую часть трафика, который мы видим, в одно большое предупреждение. Если я получаю сбои входа в систему с server1 и server2, он будет рассматривать это как один и тот же источник и коррелировать его намного быстрее, чем если бы он рассматривал их как отдельные серверы.
Есть ли какая-то логика, которую я могу добавить в OSSEC, чтобы эта локальная / неагентская конфигурация работала с несколькими входящими журналами сервера, или вы бы порекомендовали даже попробовать?
Несколько очень быстрых идей ....
1) Журналы с разных серверов направляются в разные папки / файлы {Таким образом, вы ограничиваете свою корреляцию уровнем файла}
2) Соберите все журналы и прикрепите к каждой строке журнала имя сервера. затем с помощью регулярного выражения вы отфильтровываете сервер и используете его как поле корреляции
Кроме того, какой у вас ежедневный трафик? Может быть, вы могли бы взглянуть на Splunk или Prelude ( https://www.prelude-ids.org/projects/prelude )