|
Рубрика:
Администрирование /
Настройка SIEM-системы
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
|
 ВИЗИТКА
Сергей Головашов,
руководитель Центра компетенций,
Bell Integrator
|
|
 ВИЗИТКА
Александр Баданов,
начальник отдела информационной безопасности, Центральный аэрогидродинамический институт
им. проф. Н. Е. Жуковского (ЦАГИ)
|
|
Продолжаем
делать свой SIEM на базе Wazuh
В прошлой статье мы развернули систему в конфигурации All In One, то есть все компоненты находятся на одном узле. В этой статье мы продолжим настройку нашего SIEM.
Конечно, после установки система уже приносит пользу, поскольку собирает события с операционной системы, где была развернута. Если вы заходите в консоль и замечаете какие-то оповещения, это вполне ожидаемо – идет сбор данных, срабатывают правила корреляции, формируются алерты. Но чтобы использовать систему в промышленных масштабах, нам, конечно же, потребуется подключить другие узлы как источники событий. Сегодня мы именно этим и займемся.
Источники из коробки
Один из ключевых показателей, который часто используют коммерческие SIEM-системы для сравнения, это количество поддерживаемых источников событий «из коробки». Это означает, что SIEM изначально «понимает» определенный тип источника. В документации уже описаны конкретные шаги для настройки сбора событий с данного источника как на его стороне, так и на стороне SIEM. После выполнения этих шагов события начинают поступать в систему в нормализованной форме, то есть они автоматически разбиваются на поля в интерфейсе SIEM.
Разумеется, разработчики считают, что чем больше источников поддерживает их продукт, тем лучше. Однако на практике заказчику важно, чтобы система поддерживала именно те источники, которые присутствуют в его инфраструктуре. Если какой-то источник не поддерживается изначально, придется вручную научить SIEM обрабатывать необработанные логи вашего приложения. Начнем же мы с подключения к Wazuh стандартных источников.
<...>
Ключевые слова: система мониторинга безопасности, технология SIEM, обработка событий, инфраструктура компании, сети, приложения, пресс-служба VK, высоконагруженные системы, модули, гибкость, масштабирование, производительность, пропускная способность, механизм корреляции, служба мониторинга информационной безопасности (SOC), анализ данных, реагирование на угрозы.
Полную версию статьи читайте в журнале
Подпишитесь на журнал
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
Продолжаем делать свой SIEM на базе Wazuh
