Основы работы с Splunk Enterprise (Snort+OSSEC)
, ,

 

Сегодня мы рассмотрим базовую работу с платформой для операционной аналитики Splunk Enterprise.

 

Мы настроим Splunk на сбор данных с удаленного сервера, на котором работает NIDS Snort и сервера, использующего HIDS OSSEC. Рассмотрим несколько способов подключения источников и поговорим о других возможностях Splunk.

Читать далее Основы работы с Splunk Enterprise (Snort+OSSEC)

Введение в системы обнаружения вторжений (IDS). Часть 2
, , , , , ,

Ссылка на первую часть статьи.

Сигнатурные методы детектирования в IDS

В данной статье мы рассмотрим методы детектирования, использующие предопределенные правила, в которых содержатся сигнатуры — признаки определенного события. Сигнатурный подход к детектированию берет начало с самых ранних реализаций систем обнаружения вторжений и используется до сих пор.

Читать далее Введение в системы обнаружения вторжений (IDS). Часть 2

Обеспечение безопасности сетевого периметра с использованием Snort, OSSEC и Prelude SIEM
, , , , , , ,

Рассмотрим пример реализации защиты сетевого периметра с использованием Opensource-решений на базе:
Snort — система обнаружения\предотвращения вторжения (в контексте данной статьи будет рассматриваться как IDS);
OSSEC — хостовая IDS (Host-based intrusion detection system);
Prelude\Prewikka — SIEM-система для обработки и управления событиями (Security information and event management).

В предыдущих статьях, посвященных обеспечению безопасности веб-сайта и сетевого периметра были рассмотрены инструменты nginx-naxsi (web application firewall), fail2ban (сервис блокировки доступа) и snort (IDS). Давайте попробуем соединить все подсистемы воедино, снарядив в довесок SIEM, позволяющей просматривать и анализировать события в удобном виде. Кроме этого, использование подобной системы позволит подготовиться к соответствию со стандартом PCI DSS.

Далее в примерах будут использоваться 3 сервера:
Сервер R — сетевой шлюз;
Сервер WAF — веб-сервер с установленным Nginx-Naxsi и Fail2ban;
Сервер SIEM — сервер просмотра и обработки событий.

Итак, приступим!

Читать далее Обеспечение безопасности сетевого периметра с использованием Snort, OSSEC и Prelude SIEM

Безопасность корпоративной сети с использованием Snort
, ,

В статье будет рассмотрен пример реализации системы IDS на базе OS Debian и Snort для мониторинга внутреннего сетевого периметра, включающей подсистемы:
— сервис обнаружения вторжений Snort;
— сервер БД MySQL для хранения записей событий атак, полученный от Snort;
— интерфейс анализа, обработки и визуализации событий Snort (nginx, php5-fpm, BASE).

Читать далее Безопасность корпоративной сети с использованием Snort

Сообщество специалистов в области информационной безопасности.