Содержание
Altprobe
Altprobe является компонентом проекта Alertflex и имеет функционал коллектора в соответствии с терминологией SIEM / Log Management.
Вместе с контроллером Alertflex (см. Репозиторий AlertflexCtrl в этом профиле GitHub) Altprobe может интегрировать ID хоста Wazuh (форк OSSEC) и IDS Suricata Network с платформой управления журналами Graylog и платформой анализа угроз MISP.
Функциональные возможности Altprobe
- Читает события в формате JSON из Suricata NIDS, Wazuh HIDS, Modsecurity WAF, Elastic Metricbeat через сервер Redis
- На основе политик фильтрации Collector извлекает события с высоким приоритетом из потоков данных, созданных датчиками безопасности, выполняет агрегирование и нормализацию этих событий. Это позволяет упростить управление оповещениями и инцидентами, снижает шум от незначительных событий.
- События с высоким приоритетом (оповещения) немедленно отправляются на центральный узел.
- Все события журнала, метрики хоста, статистика отправляются в контроллер внутри предварительно накопленного и сжатого набора данных, в нем реализован алгоритм «Anti-flooding» для предотвращения больших пакетов событий на стороне контроллера.
- Оповещения и события журнала (сеансы NetFlow, DNS и SSH, события с второстепенным приоритетом) могут быть перенаправлены на платформу управления журналами через контроллер/
Collector сохраняет различную статистику о событиях IDS и NetFlow и отправляет ее в контроллер. - В случае потери связи между удаленным и центральным узлами Collector сохраняет все предупреждения локально в файле
- Altprobe генерирует оповещения, если пороги сетевого трафика были достигнуты (пользователи могут настраивать пороги в политиках фильтрации коллектора)
- Генерирует оповещения, если пороговые значения метрик для хостов (ЦП, Память, Жесткий диск, Обмен) были достигнуты
- Создает отчеты о сетевой активности процессов приложения (на основе событий из Sysmon для Windows и Auditd для Linux). Это позволяет определить имя процесса, связанного с подозрительными сетевыми подключениями.
Тип событий, которые генерирует Altprobe
- Оповещение от коллектора / контроллера Alertflex
- Оповещение от OSSEC / Wazuh HIDS
- Оповещение от OSSEC / Wazuh FIM
- Оповещение от Suricata NIDS
- DNS-событие от Suricata NIDS
- SSH событие от Suricata NIDS
- Событие Netflow от Suricata NIDS
- Оповещение от ModSecurity WAF
- Сетевая активность процесса linux от Auditd
- Сетевая активность процесса windows от Sysmon
Установка
git clone https://github.com/olegzhr/Altprobe.git cd Altprobe ./install_node.sh
Статистика Graylog о категориях оповещений IDS, протоколах приложений и карте сетевых потоков Geo IP
Источник: https://github.com/olegzhr/