Главная » Блоги Экспертов И ИТ-Компаний » LittleBeat: бесплатный аплаенс для мониторинга событий информационной безопасности

LittleBeat: бесплатный аплаенс для мониторинга событий информационной безопасности

Идея предоставить малому и среднему бизнесу (от 5 до 500 хостов) простой и бесплатный инструмент мониторинга событий компьютерной безопасности занимает меня давно. LittleBeat – это моя первая попытка воплотить идею в жизнь.

LittleBeat: Вместо вступления

Представим ситуацию - в компании вообще не выделяются деньги на технические средства ИБ, а обеспечение информационной безопасности никто не отменял. В таком случае, на помощь спешит Open Source, который, надо сказать, помогает еще и обкатать технологии, а потом уже рассмотреть коммерческие решения

Что такое "безопасная информационная система"? Это система, о которой вы знаете зачем она нужна, из чего состоит, как работает, кто и с какой целью ее использует. Причем знаете в каждый момент времени. LittleBeat - программный аплаенс, который в этом помогает.

LittleBeat: Что это и зачем

Это программный аплаенс собранный на основе стека ELK с учетом собственного опыта сбора и анализа событий информационной безопасности.

Основное предназначение - сбор журналов событий Windows и представление их в виде удобном для ответа на вопросы: «как это работает?», «что за программы там запускаются?», «кто и с какой целью это использует?».  Но собирать можно не только логи Windows. VMware ESX или Cisco ASA сюда тоже поместятся, просто для Windows он «заточен».

НА ЗАМЕТКУ! Благодаря дополнению Wazuh Addon, аплаенс может анализировать и другие среды - Linux, Solaris, Mac OS X.

ELK позволяет проводить мониторинг и анализ событий собственными глазами и головой, что компенсирует отсутствие "наборов правил". В небольшой компании этого вполне достаточно. Для небольшой компании, на мой взгляд, капитальные затраты на коммерческие системы не оправданы, а работать как-то надо.

НА ЗАМЕТКУ! ELK расшифровывается как elasticsearch, logstash и kibana. Это решение предназначено для сбора, хранения и анализа данных. 

LittleBeat: Технические требования

LittleBeat предназначен для установки на физическую или виртуальную машину Ubuntu Server 16.04 LTS. Разумеется, он может использоваться как обычный узел ELK, никаких ограничений нет, просто изначально настроен именно для сбора, хранения и представления данных из журналов Windows.

Для установки необходима виртуальная или физическая машина Ubuntu Server 16.04 LTS. Рекомендуется минимальная установка системы с дистрибутива с выбором только сервера SSH и стандартных системных утилит в качестве дополнительных опций. Рекомендуется статическая настройка IP или фиксация адреса на сервере DHCP.

Во время установки необходим доступ в Интернет, как для доступа к репозиториям, так и для установки дополнительных плагинов Logstash.

Рекомендуется не менее 8 ГБ оперативной памяти. Мощность процессоров значения не имеет, процессор класса Intel Atom х64 вполне подойдет. Рекомендуемый объем дисковой памяти не менее 100 ГБ, скорость дисковой подсистемы существенного значения не имеет.

НА ЗАМЕТКУ! Рекомендуется иметь в сети сервис DNS и настроенные записи PTR для хостов, но это не обязательно.

После установки, на аплаенсе появится общедоступная (только для чтения) SMB-папка agents. В ней будут находиться сконфигурированные агенты Winlogbeat и Metricbeat и скрипты для их автоматической установки. Их можно использовать как для ручной установки на хосты, так и для какой-либо системы автоматической установки (проверено с MS System Center Configuration Manager). Кроме того, в этой же папке находится файл win-audit-set.bat, которым можно настроить политику аудита Windows, в том числе "Домашней версии", не имеющей соответствующего редактора политик. Этот файл не зависит от языка системы, поскольку использует GUID идентификаторы политик, а не их названия.

LittleBeat: Установка

Во время установки на вашем сервере будет создан пользователь little (пароль вы зададите сами). Этому пользователю будут заданы uid=0 и gid=0, то есть он станет рутом

Образ диска здесь: littlebeat-5.5.001.iso

Для работы с виртуальной машиной просто подключите littlebeat-5.5.001.iso в качестве cdrom, для работы с физической машиной создайте из этого образа cdrom или flashdrive, или скопируйте littlebeat-5.5.001.iso на машину, например, используя WinSCP, и смонтируйте его в какую-нибудь папку.

Перейдите в папку, в которую смонтировали диск, сделайтесь рутом (sudo su) и запустите скрипт run.sh.

Пример для запуска с cdrom:

        mkdir ~/littlebeat    sudo mount -t iso9660 -o ro /dev/cdrom ~/littlebeat    cd ~/littlebeat    sudo su    bash run.sh 

Пример для запуска со смонтированного iso:

     mkdir ~/littlebeat    mount -t iso9660 -o loop ~/littlebeat-5.5.001.iso ~/littlebeat    cd ~/littlebeat    sudo su    bash run.sh 

Подключитесь к консоли аплаенса от имени пользователя little и продолжайте установку и настройку системы (запустится последовательность меню). После завершения установки появится основное меню управления системой. Рекомендуется сразу настроить здесь обзор IP сетей и запустить его (обзор также запускается автоматически, кроном, каждые 2 часа). Затем в браузере на своей рабочей машине заходите на http://you_littlebeat_host/. Исходные коды вы найдете на githab, там же wiki с описанием

 

LittleBeat на GitHub

 

Коллеги, я продолжаю доработку инструмента и буду рад вашим комментариям и предложениям.

 

Евегний Соколов,

системный архитектор

ГК ANGARA

e.sokolov@angaratech.ru


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
3 месяца назад
Комментарии
Другие публикации
RU,
+7 (495) 269-26-06
---

Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>