OSSEC 作为 SIEM

OSSEC 作为 SIEM

我正在开展一个日志聚合项目,想在其中添加一些次要的关联/安全情报。

目前,我有来自大约 400 台服务器的日志进入 syslog-ng 框。我研究了一些程序,例如 SEC(简单事件相关器)、OSSEC 等。对于 SEC,我可以轻松地让进程跟踪我正在写入的文件,并让它触发警报。

然而我必须建立许多自定义规则,而且它不会像 OSSEC 那样有漂亮的 GUI。

因此,我考虑使用 OSSEC 作为本地安装,而不是让它处理所有代理,而只是让它跟踪日志文件和行程警报。

我最担心的是,由于我没有使用 OSSEC 的代理部分,所以看起来唯一的代理是 localhost,因此会将我们看到的大量流量合并为一个大警报。如果我从 server1 和 server2 收到登录失败信息,它会将其视为同一来源,并且关联速度比将它们视为单独的服务器要快得多。

我可以将任何逻辑放入 OSSEC 中,以使这个本地/非代理配置与传入的多个服务器日志一起工作,或者您是否建议尝试一下?

答案1

虽然我对此有一些想法,稍后会写下来,但你也可以考虑发布到 OSSEC 邮件列表中,这里或者可以将此问题迁移到 IT Security SE 网站,这里

答案2

一些非常快速的想法....

1)来自不同服务器的日志被定向到不同的文件夹/文件{因此你将相关性限制在文件级别}

2)将所有日志放在一起,并将服务器名称附加到每个日志行。然后使用正则表达式筛选出服务器并将其用作相关字段

此外,您每天的流量是多少?也许您可以看看 Splunk 或 Prelude(https://www.prelude-ids.org/projects/prelude

相关内容