altprobe: сборщик событий для Suricata NIDS, Wazuh HIDS, Modsecurity WAF, Elastic Metricbeat — Information Security Squad

altprobe: сборщик событий для Suricata NIDS, Wazuh HIDS, Modsecurity WAF, Elastic Metricbeat

Altprobe

Altprobe является компонентом проекта Alertflex и имеет функционал коллектора в соответствии с терминологией SIEM / Log Management.

Вместе с контроллером Alertflex (см. Репозиторий AlertflexCtrl в этом профиле GitHub) Altprobe может интегрировать ID хоста Wazuh (форк OSSEC) и IDS Suricata Network с платформой управления журналами Graylog и платформой анализа угроз MISP.

Функциональные возможности Altprobe

  • Читает события в формате JSON из Suricata NIDS, Wazuh HIDS, Modsecurity WAF, Elastic Metricbeat через сервер Redis
  • На основе политик фильтрации Collector извлекает события с высоким приоритетом из потоков данных, созданных датчиками безопасности, выполняет агрегирование и нормализацию этих событий. Это позволяет упростить управление оповещениями и инцидентами, снижает шум от незначительных событий.
  • События с высоким приоритетом (оповещения) немедленно отправляются на центральный узел.
  • Все события журнала, метрики хоста, статистика отправляются в контроллер внутри предварительно накопленного и сжатого набора данных, в нем реализован алгоритм «Anti-flooding» для предотвращения больших пакетов событий на стороне контроллера.
  • Оповещения и события журнала (сеансы NetFlow, DNS и SSH, события с второстепенным приоритетом) могут быть перенаправлены на платформу управления журналами через контроллер/
    Collector сохраняет различную статистику о событиях IDS и NetFlow и отправляет ее в контроллер.
  • В случае потери связи между удаленным и центральным узлами Collector сохраняет все предупреждения локально в файле
  • Altprobe генерирует оповещения, если пороги сетевого трафика были достигнуты (пользователи могут настраивать пороги в политиках фильтрации коллектора)
  • Генерирует оповещения, если пороговые значения метрик для хостов (ЦП, Память, Жесткий диск, Обмен) были достигнуты
  • Создает отчеты о сетевой активности процессов приложения (на основе событий из Sysmon для Windows и Auditd для Linux). Это позволяет определить имя процесса, связанного с подозрительными сетевыми подключениями.

Тип событий, которые генерирует Altprobe

  • Оповещение от коллектора / контроллера Alertflex
  • Оповещение от OSSEC / Wazuh HIDS
  • Оповещение от OSSEC / Wazuh FIM
  • Оповещение от Suricata NIDS
  • DNS-событие от Suricata NIDS
  • SSH событие от Suricata NIDS
  • Событие Netflow от Suricata NIDS
  • Оповещение от ModSecurity WAF
  • Сетевая активность процесса linux от Auditd
  • Сетевая активность процесса windows от Sysmon

Установка

git clone https://github.com/olegzhr/Altprobe.git
cd Altprobe
./install_node.sh

Статистика Graylog о категориях оповещений IDS, протоколах приложений и карте сетевых потоков Geo IP

Источник: https://github.com/olegzhr/

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40