我已经安装了 OSSIM 服务器,并且我想要检索远程 Nagios 服务器生成的警报,以便分析它们并执行安全事件的关联。
在开始之前,我想知道正确的方法是什么。
- 我是否需要配置 Nagios 以便它将警报转发到 OSSIM 服务器?这可能吗?
- 我需要在运行 Nagios 的机器上安装 OSSEC 代理吗?如果需要,我该如何配置 OSSEC 和 Nagios?
- 还有其他解决办法吗?
谢谢!
更新:
它“几乎”可以正常工作,我可以看到 NAGIOS 警报通过 rsyslog 正确转发,但 OSSIM 将它们视为 syslog 的正常日志,因此它们不会被 NAGIOS 插件处理。由于我必须创建 OSSIM 规则才能关联 NAGIOS 警报,因此我绝对需要使用 NAGIOS 插件来处理 NAGIOS 警报。
以下是我想到的一些可能的解决方案:开发一种插件来读取 syslog 日志,提取来自远程 NAGIOS 的日志并将它们发送到 OSSIM。为 OSSIM 开发插件有多复杂?配置 OSSIM 并将“嵌入式”NAGIOS 替换为远程 NAGIOS。这可能吗?如果可以,怎么做?配置 OSSIM 以便它可以使用两个 NAGIOS,即本地 NAGIOS 和远程 NAGIOS。这可能吗?如果可以,怎么做?通过 NSCA 协议将远程 NAGIOS 的警报推送到本地 NAGIOS。这样可行吗?创建一个分布式 (DNX) NAGIOS 系统并将本地 NAGIOS 配置为主 NAGIOS,将远程 NAGIOS 配置为从属 NAGIOS。这样可行吗?你们觉得怎么样?这些解决方案中的哪一个可行?你们有更好的主意吗?
谢谢。
答案1
您可以设置 Nagios 来记录到 syslog,然后配置它(例如,rsyslog)以将事件推送到 OSSIM(已启用 rsyslog 来接收远程日志)。
您可能还是希望在 Nagios 盒子上安装 OSSEC,但这不是必需的只是将事件放入OSSIM。