Zber a vyhodnocovanie logov

Sekcia o programovaní, programovacích jazykoch...
plao
Používateľ
Používateľ
Príspevky: 449
Dátum registrácie: Po 25. Júl, 2005, 20:00
Bydlisko: Velke Zaluzie

Zber a vyhodnocovanie logov

Príspevok od používateľa plao »

Ahojte, hľadám sofvér na centrálny zber a vyhodnocovanie logov - ideálne free :D (cca 250 win PC). S čím máte dobré skúsenosti?

Momentálne testujem loki+grafana. Ako tak som to rozbehal. Na každom PC beží agent a logy sa ukladajú na zvlášť lx serveri. V grafane tie logy vidím, viem ich filtrovať atď-len nejaké notifikácie/alerty by to chcelo ešte. Je tu nejaký grafana skiller??
Používateľov profilový obrázok
zoom
Používateľ
Používateľ
Príspevky: 2317
Dátum registrácie: Št 16. Jún, 2005, 20:00
Bydlisko: Bratislava (40)

Re: Zber a vyhodnocovanie logov

Príspevok od používateľa zoom »

Asi je celkom dolezite povedat, co od toho ocakavas. Ake logy zbieras a co v nich pozeras? Cisto systemove veci ako HW, SW, performance a take? To zvladne najzakladnejsi SIEM system. Alebo aj vulnerability funkcie ako varovania na neopatchovane systemy a softy? To je Vulnerability Assessment. Analyza podozrivych eventov na klientovi (spustanie skriptov, sifrovanie suborov, spustanie systemovych EXEciek s divnymi pravami ci z nestandardnych lokacii a podobne)? To je domena EDR/XDR.

Mozeme sa teraz bavit, ci SIEM zahrna XDR, alebo naopak XDR je nad SIEM a budeme tu mavat carovnymi skratkami a formulkami ako na stretnuti nagelovanych sales ludi, ale podla toho, co pozadujes, sa nieco moze vybrat. Taktiez ten server chces instalovat na Windowse alebo mozu byt aj Linuky? Ja osobne silne preferujem Windows, ale pre Lisuxy mas napr. Wazuh, ktore vyzera moderne. Dalsi soft moze byt napr. Blumira, ktora ma integracie s mnohymi sluzbami (napr. MS 365 alebo aj firewally na perimetri). Oboje by malo do nejakej miery utoky/eventy/hlasenia korelovat s MITRE ATT&CK frameworkom, co je teraz popularne a asi by som to aj chcel. Ale osobne skusenosti s tymi dvomi nemam.
Používateľov profilový obrázok
molnart
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 6993
Dátum registrácie: Ut 19. Jún, 2012, 23:03
Bydlisko: Bratislava/Samorin

Re: Zber a vyhodnocovanie logov

Príspevok od používateľa molnart »

Toto sa snazim uz davnejsie vyriesit, ale vsetko co som nasiel bud malo strasne vysoku vstupnu barieru v podobe konfiguracie, alebo z ineho dovodu nevyhovovalo. Lebo napr. ja by som tam chcel posielat logy aj zo zariadeni kde ziadneho agenta nenainstalujem, ako napr. switch, router, ipmi a pod. Skusal som splunk, ten fungoval celkom ok, ale problemom je vyhladavanie s ktorym proste neviem robit a pride mi to strasne zlozite. LibreNMS mi vyhovoval viac, ale tam som zasa narazal na problemy so stabilitou, ze to proste vytuhlo, cpu na 100% aspon raz do tyzdna. Do Observium som ziadne logy dostat nevedel, dokumentaciou su videa nejakeho inda kroremu nerozumiem
Spoiler: ukázať
PC: CPU: Intel Core i5 12600K with Silentium Fortis 5 ARGB MB: MSI Tomahawk Z690 DDR4 RAM: 2x 16GB G.Skill Ripjaws V 4400-19 DDR4 GPU: GigaByte Eagle GeForce RTX 3060 Ti OC HDD: Samsung 970 1GB GB PSU: Corsair RMx (2018) 650W Case: Fractal Meshify 2 Compact Monitor: Philips 272B7QPJEB OS: Win 11 64-bit
Notebook: HP EliteBook 840 G6 Core i5 8265U, 16 GB RAM, 512 GB SSD
Server: HP Microserver Gen8 Xeon E3-1265Lv2, 16GB ECC DDR3 OS: PVE + OMV + OPNsense
Phone: Samsung Galaxy A52s
Tablet: iPad Pro 11 (2018)
plao
Používateľ
Používateľ
Príspevky: 449
Dátum registrácie: Po 25. Júl, 2005, 20:00
Bydlisko: Velke Zaluzie

Re: Zber a vyhodnocovanie logov

Príspevok od používateľa plao »

Na začiatok by mi stačili čisto systémové ako HW, SW, performance (aký základný SIEM to zvládne?). V podstate mi je jedno či to bude bežať na MS alebo Linuxe. Routre a switche logovať nepotrebujem-to si rieši dodávateľ. Z tej grafany si idem vlasy vytrhať, rozbehať tam ten alerting je celkom výzva :D XDR momentálne testujem od Esetu (máme od nich protect cloud entry) a vyzerá to celkom fajn -len tá cena...
Používateľov profilový obrázok
zoom
Používateľ
Používateľ
Príspevky: 2317
Dátum registrácie: Št 16. Jún, 2005, 20:00
Bydlisko: Bratislava (40)

Re: Zber a vyhodnocovanie logov

Príspevok od používateľa zoom »

No takto... ak XDR od ESETu znamena ESET Inspect, tak to potrebuje ESETove Endpointy a ESET PROTECT - co bude asi zahrnute v tom Cloud Entry. Takze pokial ti ide iba o nejaky zbezny prehlad na PC, preco na to nepouzit ESET PROTECT, ktory uz mas (tj. bol by "free")? Je to samozrejme viac smerovane na taky ten security overview, ale vidis tam HW konfiguraciu pocitacov, nainstalovane programy, mas moznosti roznych politik a prikazov na dialku. Mohlo by ti to pokryt tvoje poziadavky. A do buducna mas moznost aj Vulnerability & Patch Management (od ESET PROTECT Complete balika).

Pripadne ak teda testujes XDR ako sucast balika ESET PROTECT Elite, tak tam je samozrejme okrem XDR zahrnuty aj ten Vuln & Patch Management. A mal by si vsetko pod jednou strechou. Samozrejme nechcem ti nukat platenu sluzbu ako alternativu niecoho free, ale bud tvoju poziadavku vyriesi ESET PROTECT (za ktory uz platis), alebo ti vsetko pokryje balik s XDR (ktory testujes a mozno ho zakupis).
Používateľov profilový obrázok
Hexaris
Sponzor fóra gold
Sponzor fóra gold
Príspevky: 806
Dátum registrácie: Št 11. Júl, 2019, 19:35
Bydlisko: Nekde na zahori

Re: Zber a vyhodnocovanie logov

Príspevok od používateľa Hexaris »

graylog?
Your value does not decrease because of someone's inability to see your worth.
BOOK: MB Air M1 2020 AMP: Topping DX3Pro+ HEADPHONES: HiFiMAN HE400SE

Návrat na "Programovanie"