Сбор security логов и мониторинг событий в Linux.
Вовремя среагировать или расследовать инцидент может помочь утилита SysmonForLinuх.
System Monitor for Linux — это инструмент, предоставляющий возможность расширенного мониторинга событий в Linux. Он является полным аналогом инструмента Sysinternals Sysmon для Windows.
Утилита позволяет отслеживать системные вызовы, такие как: создание и удаление файлов, изменение прав доступа к файлам, запуск и остановка процессов, сетевую активность, изменения в системном реестре и т.д. Кроме того, может определять подозрительную активность и отправлять уведомления об этом.
Нам, конечно, хотелось бы использовать SysmonForLinux до момента полной компрометации системы. Поэтому — пару слов про интеграции SysmonForLinux в SIEM.
Для интеграции можно использовать системы сбора и анализа журналов (например, ELK), агрегаторы логов (например, Fluentd, rsyslog). В процессе интеграции можно (даже нужно, т.к. событий будет очень много) настроить сбор данных о различных событиях, определить пороговые значения и правила для обнаружения подозрительной активности и настроить уведомления для оперативного реагирования на инциденты.
Конечно, SysmonForLinux имеет множество аналогов, которые могут быть удобнее для вашей инфраструктуры.
А как вы собираете security события с *nix хостов?
Вовремя среагировать или расследовать инцидент может помочь утилита SysmonForLinuх.
System Monitor for Linux — это инструмент, предоставляющий возможность расширенного мониторинга событий в Linux. Он является полным аналогом инструмента Sysinternals Sysmon для Windows.
Утилита позволяет отслеживать системные вызовы, такие как: создание и удаление файлов, изменение прав доступа к файлам, запуск и остановка процессов, сетевую активность, изменения в системном реестре и т.д. Кроме того, может определять подозрительную активность и отправлять уведомления об этом.
Нам, конечно, хотелось бы использовать SysmonForLinux до момента полной компрометации системы. Поэтому — пару слов про интеграции SysmonForLinux в SIEM.
Для интеграции можно использовать системы сбора и анализа журналов (например, ELK), агрегаторы логов (например, Fluentd, rsyslog). В процессе интеграции можно (даже нужно, т.к. событий будет очень много) настроить сбор данных о различных событиях, определить пороговые значения и правила для обнаружения подозрительной активности и настроить уведомления для оперативного реагирования на инциденты.
Конечно, SysmonForLinux имеет множество аналогов, которые могут быть удобнее для вашей инфраструктуры.
А как вы собираете security события с *nix хостов?