Zber a vyhodnocovanie logov

[plao]

Ahojte, hľadám sofvér na centrálny zber a vyhodnocovanie logov - ideálne free (cca 250 win PC). S čím máte dobré skúsenosti?

Momentálne testujem loki+grafana. Ako tak som to rozbehal. Na každom PC beží agent a logy sa ukladajú na zvlášť lx serveri. V grafane tie logy vidím, viem ich filtrovať atď-len nejaké notifikácie/alerty by to chcelo ešte. Je tu nejaký grafana skiller??

[zoom]

Asi je celkom dolezite povedat, co od toho ocakavas. Ake logy zbieras a co v nich pozeras? Cisto systemove veci ako HW, SW, performance a take? To zvladne najzakladnejsi SIEM system. Alebo aj vulnerability funkcie ako varovania na neopatchovane systemy a softy? To je Vulnerability Assessment. Analyza podozrivych eventov na klientovi (spustanie skriptov, sifrovanie suborov, spustanie systemovych EXEciek s divnymi pravami ci z nestandardnych lokacii a podobne)? To je domena EDR/XDR.

Mozeme sa teraz bavit, ci SIEM zahrna XDR, alebo naopak XDR je nad SIEM a budeme tu mavat carovnymi skratkami a formulkami ako na stretnuti nagelovanych sales ludi, ale podla toho, co pozadujes, sa nieco moze vybrat. Taktiez ten server chces instalovat na Windowse alebo mozu byt aj Linuky? Ja osobne silne preferujem Windows, ale pre Lisuxy mas napr. Wazuh, ktore vyzera moderne. Dalsi soft moze byt napr. Blumira, ktora ma integracie s mnohymi sluzbami (napr. MS 365 alebo aj firewally na perimetri). Oboje by malo do nejakej miery utoky/eventy/hlasenia korelovat s MITRE ATT&CK frameworkom, co je teraz popularne a asi by som to aj chcel. Ale osobne skusenosti s tymi dvomi nemam.

[molnart]

Toto sa snazim uz davnejsie vyriesit, ale vsetko co som nasiel bud malo strasne vysoku vstupnu barieru v podobe konfiguracie, alebo z ineho dovodu nevyhovovalo. Lebo napr. ja by som tam chcel posielat logy aj zo zariadeni kde ziadneho agenta nenainstalujem, ako napr. switch, router, ipmi a pod. Skusal som splunk, ten fungoval celkom ok, ale problemom je vyhladavanie s ktorym proste neviem robit a pride mi to strasne zlozite. LibreNMS mi vyhovoval viac, ale tam som zasa narazal na problemy so stabilitou, ze to proste vytuhlo, cpu na 100% aspon raz do tyzdna. Do Observium som ziadne logy dostat nevedel, dokumentaciou su videa nejakeho inda kroremu nerozumiem

[plao]

Na začiatok by mi stačili čisto systémové ako HW, SW, performance (aký základný SIEM to zvládne?). V podstate mi je jedno či to bude bežať na MS alebo Linuxe. Routre a switche logovať nepotrebujem-to si rieši dodávateľ. Z tej grafany si idem vlasy vytrhať, rozbehať tam ten alerting je celkom výzva XDR momentálne testujem od Esetu (máme od nich protect cloud entry) a vyzerá to celkom fajn -len tá cena...

[zoom]

No takto... ak XDR od ESETu znamena ESET Inspect, tak to potrebuje ESETove Endpointy a ESET PROTECT - co bude asi zahrnute v tom Cloud Entry. Takze pokial ti ide iba o nejaky zbezny prehlad na PC, preco na to nepouzit ESET PROTECT, ktory uz mas (tj. bol by "free")? Je to samozrejme viac smerovane na taky ten security overview, ale vidis tam HW konfiguraciu pocitacov, nainstalovane programy, mas moznosti roznych politik a prikazov na dialku. Mohlo by ti to pokryt tvoje poziadavky. A do buducna mas moznost aj Vulnerability & Patch Management (od ESET PROTECT Complete balika).

Pripadne ak teda testujes XDR ako sucast balika ESET PROTECT Elite, tak tam je samozrejme okrem XDR zahrnuty aj ten Vuln & Patch Management. A mal by si vsetko pod jednou strechou. Samozrejme nechcem ti nukat platenu sluzbu ako alternativu niecoho free, ale bud tvoju poziadavku vyriesi ESET PROTECT (za ktory uz platis), alebo ti vsetko pokryje balik s XDR (ktory testujes a mozno ho zakupis).

[Hexaris]

graylog?