The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

25.08.2011 13:19  Релиз Sagan 0.2, системы мониторинга событий информационной безопасности

Представлен второй релиз проекта Sagan, в рамках которого развивается многопоточная система для мониторинга появления в логах событий, связанных с безопасностью, и реагирования на эти события в режиме реального времени. Sagan относится к категории систем управления инцидентами и событиями информационной безопасности (SEIM - Security Information & Log Management). Для определения заслуживающих внимания событий используя правила, похожие на правила Snort. При выявлении описанного в правилах события, вызывается специальный обработчик, который может, например, отправить уведомление ответственному персоналу, запустить внешнюю утилиту, передать событие в бэкенд Prelude или сохранить информацию об инциденте в базе данных или отдельном логе.

Sagan может быть использован и как централизованная система обработки системных журналов, и как система для мониторинга логов на отдельных серверах. При помощи Sagan можно организовать сбор логов из различных источников (логи маршрутизаторов, межсетевых экранов, коммутаторов, журналы событий Windows, системные журналы Unix-подобных систем, логи отдельных приложений и т.п.) с сохранением результатов их анализа в централизованной базе данных, единой с базой, ведомой IDS-системой Snort. Для анализа данных в такой базе можно использовать стандартные программы, такие как Snorby. Важной особенностью Sagan является возможность сопоставить выявленные в логах события и информацию, полученную через системы обнаружения и предотвращения сетевых вторжений (IDS/IPS).

Код Sagan поставляется под лицензией GPL, написан на языке Си и отличается высокой производительностью. Обработка логов ведется в отдельных потоках, поэтому выполнение связанных с реакцией на события действий, таких как отправка email или обращение к внешней СУБД, не приводит временному блокированию работы анализатора. Правила для задания сигнатур полностью совместимы со Snort, поэтому с ними можно использовать сторонние утилиты управления правилами, такие как Oinkmaster. Кроме того, Sagan можно использовать как дополнительный сенсор для Snort, что позволяет добиться очень плотной интеграции данных пакетов. Например, появляется возможность просмотра выявленных в логах событий через стандартные пользовательские интерфейсы Snort.

При подготовке Sagan 0.2 основное внимание было уделено устранению ошибок и повышению стабильности. Из наиболее важных изменений отмечается реструктуризация способа обработки данных, налаживание работы режима изолированного выполнения (--chroot) и устранение проблем при организации прямой записи в базу данных, ведомую Snort. Кроме того, в новой версии удалена поддержка Logzilla, так как она выходит за рамки Sagan, и режима "--program", который мог работать только с syslog-ng и не отличался хорошей эффективностью. В будущих версиях планируется обеспечить поддержку плагина Snortsam, используемого для автоматизации блокирования IP-адресов и поддерживающего работу с большим числом межсетевых экранов.

  1. Главная ссылка к новости (http://seclists.org/fulldisclo...)
  2. OpenNews: Первый релиз системы мониторинга системных журналов Sagan 0.1.0
  3. OpenNews: Релиз системы обнаружения атак Snort 2.9.0
Лицензия: CC-BY
Тип: Программы
Ключевые слова: Sagan, security, log, analyze, monitoring, snort
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение RSS
 
  • 1, Аноним, 20:47, 27/08/2011 [ответить] [смотреть все]
  • +/
    кто юзал его и OSSEC, есть ли разница?
     
  • 2, leon55, 20:44, 29/08/2011 [ответить] [смотреть все]
  • +/
    Стоял тазик безхозно - подниму-ка я на нём завтра фрю да посмотрю как этот саган справится с парсингом провайдерских натов и Л2 свичей. А потом отпишусь :)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor