Я установил сервер OSSIM и хочу получать предупреждения, генерируемые удаленным сервером Nagios, чтобы анализировать их и выполнять корреляцию событий безопасности.
Прежде чем приступить к делу, я хотел бы знать, каков правильный подход.
Спасибо!
ОБНОВИТЬ:
Это «почти» работает, я вижу, что предупреждения NAGIOS правильно пересылаются через rsyslog, но OSSIM видит их как обычные журналы системного журнала, поэтому они не обрабатываются плагином NAGIOS. Поскольку мне нужно создать правило OSSIM для сопоставления предупреждений NAGIOS, мне абсолютно необходимо обрабатывать предупреждения NAGIOS с помощью плагина NAGIOS.
Вот несколько возможных решений, которые я придумал: Разработка своего рода плагина для чтения журналов системного журнала, извлечения этих журналов, поступающих с удаленного NAGIOS, и отправки их в OSSIM. Насколько сложна разработка плагина для OSSIM? Настройка OSSIM и замена «встроенного» NAGIOS на удаленный. Это возможно? Если да, то как? Настройка OSSIM для использования двух NAGIOS, локального и удаленного. Это возможно? Если да, то как? Отправка предупреждений удаленного NAGIOS на локальный через протокол NSCA. Это сработает? Создание распределенной (DNX) системы NAGIOS и настройка локального NAGIOS как ведущего, а удаленного как ведомого. Это сработает? Что, вы парни, думаете? Какое из этих решений будет работать? У вас есть идеи получше?
Спасибо.
Вы можете настроить Nagios для ведения журнала в системный журнал, а затем настроить его (например, rsyslog) для отправки событий в OSSIM (в котором включен rsyslog для получения удаленных журналов).
В любом случае вы можете захотеть установить OSSEC на коробке Nagios, но это не обязательно просто получать события в OSSIM.