如何使用 ELK 做基本資安

OSSEC 是一個適合多作業系統, 可擴充, 且開放架構的一套資安入侵偵測系統 (HIDS), 我們不難拿 ELK (Elasticsearch, Logstash, Kibana) 軟體, 在達到符合 PIC-DSS 等類似的稽核標準.

首先你必須將所有電腦, 不論事 Windows 作業系統, Linux 作業系統, 甚至其他類似 HP, Oracle 或 IBM 的主機, 都能把相關資安的 logs (日誌) 檔案, 集中管理. 其次, 在製作 logs 的資料萃取動作, 將有效的資料自動分成欄位, 以便利做警示判斷的依據. 最後, 再經由 dashboard 的製作, 將平時的監視畫面, 顯示在電視牆上. 方便資安人員管理與提供警示.

OSSEC 有一些標準規範, 且不定期更新檢查方法, 我們也要利用 ELK plugin 跟它接軌. 台灣 Trend Micro Inc. 趨勢公司, 也免費提供資料來介接 OSSEC 資料, 讓大家能享有最安全的資料防護網. 如果想要用 docker 安裝來玩玩看也行,

$ git clone git@github.com:mingderwang/docker-ossec-elk.git 
$ cd docker-ossec-elk
$ docker build -t mingderwang/docker-ossec-elk .
$ docker run -it -v `pwd`:/var/ossec/data mingderwang/docker-ossec-elk bash
Installing etc
Installing rules
Installing logs
Installing stats
Installing queue
Creating ossec-authd key and cert
Generating RSA private key, 4096 bit long modulus
.......................................++
.....................++
e is 65537 (0x10001)
Starting ossec-authd...
logstash started.
 * Starting Elasticsearch Server           [OK]
...

聯絡我們:

我們還提供以下專業服務及顧問諮詢

• Elasticsearch, Kibana, Logstash
• iPOC, performance analysis system.

請用 或電話 0982–177–817 聯絡, 安排展示時間或諮詢.

集先鋒, TurboTeam 團隊, Log4 Analytics 團隊