Log4 資料分析 bio photo

Log4 資料分析

提供系統自動部署,資料收集,以及監控與分析工具

Email Twitter Facebook Github

<產品介紹>

安裝介紹

本公司所提供之軟體以開源軟體為主, 我們工程師也投入這些軟體之開發及改良。 平常除了在技術日誌 與大家分享使用心得以及提供資安及改版等之消息外, 主要安裝及使用等教學文件將會在此頁詳細介紹。

本季教您 如何用 ELK 做 SIEM (HIDS)

網絡攻擊正成為當今世界大公司最常關注的問題。此外,攻擊不僅更頻繁,而且在復雜性越來越高。現在,僅投資和依賴預防機制是不夠的,特別是對中小企業而言,在人力資源有限的情況下,更需要系統自動收集資安相關事件,資安人員才能有效防堵駭客的攻擊。一般公司除了需要有預防性對策以外,還需要有監控系統,以便及時發現和應對所有的網絡攻擊。除了部署監測系統,還要僱用工作人員持續的監測他們。

安全信息和事件管理(SIEM)是一種非常重要的安全監控技術。它可以讓您從安全的角度查看系統上發生的事情,且對伺服器和網絡設備產生的威脅和安全警報資料,做一不同嚴重等級的分類,且即時顯示分析結果。此外,它還能夠即時查詢來自不同來源的事件和警報,讓資安人員能儘早處理。

系統入侵偵測系統 (Host-based Intrusion Detection System),簡稱為 HIDS,是其中一種簡單有效的監測工具。我們可以利用 ELK 超強的日誌分析與即時顯示與全文檢索特性,搭配 OSSEC 的資安相關資料收集,來做長時間的資安相關系統紀錄保存。方便資安事件發生時,可以查詢分析與判讀。在我們使用 ELK 之前, 必須先有一台 OSSEC 主機,來跟所有被監控的主機或 PC 做配對。只有配對授權後的機器,才能開始收集資安相關資料,提供給 OSSEC 主機使用.


如何安裝 OSSEC Agents?

OSSEC 屬於趨勢公司開放原始碼產品, 所以客戶您可以自行安裝. 以下為安裝與使用方式說明。

趨勢公司擁有其智慧財產權, 請確認你正確使用權

注意: 在自行安裝軟體前, 請先利用 email 與我們聯絡 support@log4analytics.com , 獲取相關技術支援

– 安裝

第一, 我們先準備一台伺服器, 當成收集 OSSEC 的主機, 這裡以ㄧ台裝好 Ubuntu 16.04 為例。 請參考 OSSEC 官網 安裝 OSSEC 主機軟體, 以及每一台 agents 上的 OSSEC 軟體。

第二, 啟動 syslog 功能 修改 /var/ossec/etc/ossec.conf 檔如下, 設定 syslog 收集主機的 IP, 例如這裡是 10.147.20.130

<syslog_output>
    <server>10.147.20.130</server>
  </syslog_output>

再執行

$ sudo /var/ossec/bin/ossec-control enable client-syslog
$ sudo /var/ossec/bin/ossec-control restart

– Agent 配對

OSSEC 支援相當多種作業系統,其中包括中小企業最常用的微軟 Windows XP, 2003, Vista, 2008, 2012,以及一般大型伺服器 Linux, 甚至 Solaris 2.7, 2.8, 2.9, 10 與 AIX 5.2, 5.3, HP-UX 11, 或 Mac OS X 10.x 以上作業系統,甚至於 VMWare ESX 3.0,3.5 等相關事件分析規則,都能使用。

OSSEC 3.0 已經進入 beta 階段, 但建議還是先使用目前最穩定的 2.9.4 版, 相關作業系統安裝軟體, 請自行到官方下載網站下載

注意: Windows 作業系統安裝方法比較困難, 可以利用 email 與我們聯絡 support@log4analytics.com , 獲取相關技術支援

以下以 Linux 伺服器與 OSSEC 主機配對為例,加以說明。

$  sudo /var/ossec/bin/manage_agents


****************************************
* OSSEC HIDS v2.9.0 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: A

選擇 (A)

- Adding a new agent (use '\q' to return to the main menu).
  Please provide the following:
   * A name for the new agent: db-server
   * The IP Address of the new agent: 10.147.19.231
   * An ID for the new agent[001]:
Agent information:
   ID:001
   Name:db-server
   IP Address:10.147.19.231

Confirm adding it?(y/n): y
Agent added.

再利用 (E), 產生一只授權碼給該號碼的 agent.

Agent key information for '001' is:
MDA0IGc0aC1zdGFnaW5nIDEwLjE0Ny4xOS4yMzMgZmI3OWM4YTQ1YzM5YzUyNzAzMmMzNTZjMmRkZTAzMDg2YjkyY0Y0MGM4MTkwNmQ0MTdkNTM5YjljNTY5ODE2OA==

** Press ENTER to return to the main
menu.

最後, 在該被監測的機器上執行

$ sudo /var/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.8 Agent manager.     *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.
Choose your action: I or Q: I

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): MDA0IGc0aC1zdGFnaW5nIDEwLjE0Ny4xOS4yMzMgZmI3OWM4YTQ1YzM5YzUyNzAzMmMzNTZjMmRkZTAzMDg2YjkyY0Y0MGM4MTkwNmQ0MTdkNTM5YjljNTY5ODE2OA==

Agent information:
   ID:001
   Name:db-server
   IP Address:10.147.19.231

Confirm adding it?(y/n): y
Added.
** Press ENTER to return to the main menu.

– 技巧

  • 之後可以啟動 OSSEC 對 syslog 的輸出,以 syslog 格式的透過 Logstash 轉給 Elasitcsearch 伺服器來保存。
  • 確定每台被偵測的機器跟 OSSEC 之間 port 514 有開,否則無法連線。
  • 若 syslog 使用 port 9000,Logstash 主機也要開 9000 port,才能收到 OSSEC 資料。

客製化服務

  • 我們可以幫客戶製作客製化 Kibana Dashboards
  • 我們可以幫客戶製作客製化 Logstash config
  • 我們可以規劃其他軟體自動化部屬
  • 有問題請寄電子郵件到: support@log4analytics.com

版權所有

  • OSSEC is a product and trademark of Trend Micro, Inc.
  • Elasticsearch, Logstash & Kibana are trademarks of Elasticsearch BV.