Comments | securityblogru: подскажите средства сбора и анализа логов

e1am0 in securityblogru

подскажите средства сбора и анализа логов

Jun 28, 2011 11:20

Интересует субж enterprise уровня для виндов с сиськами в первую очередь, должно снимать журналы, как-то синхронизировать, анализировать, искать корреляции и аномалии. Какие есть продукты с подобной функциональностью, на какие ключевые слова может отозваться гугль? Или же сейчас можно применять другие подходы к контролю за происходящим в ИТ ( Read more... )

cisco, windows, microsoft

Comments 25

ex_ivlad June 28 2011, 08:44:44 UTC

Посмотри на Splunk, ArcSite, rsa envision.

e1am0 June 28 2011, 08:58:01 UTC

спасибо. я вот только с ArcSite не очень понял - у нас продаёт кто-нибудь?

ex_ivlad June 28 2011, 09:40:14 UTC

Техносерв, кажется.

touzoku June 28 2011, 10:41:43 UTC

Из опыта у кого что внедрено АркСайт популярен.

Информзащита и продает, и внедряет. Позвони 980-23-45.

_slw June 28 2011, 09:04:28 UTC

mars?

e1am0 June 28 2011, 09:40:02 UTC

мне бы подробнее :) а то можно подумать про шикалатки

ex_ivlad June 28 2011, 09:41:35 UTC

"Cisco announces the end-of-sale and end-of life dates for the Cisco Security Monitoring, Analysis, and Response System. The last day to order the affected product(s) is June 3, 2011."

e1am0 June 28 2011, 09:49:36 UTC

вах. так и не успел попробовать :)

Thread 7

ext_635925 June 28 2011, 09:05:11 UTC

Ключевое слово - SIEM.

e1am0 June 28 2011, 09:41:01 UTC

спасибо, занырнул

touzoku June 28 2011, 10:48:01 UTC

МаксПатрол в качестве системы сбора логов не катит, к сожалению. Плюшка с контролем целостности у него есть, но если это бизнес-задача (а не "чтобы было"), то я бы рекомендовал что-нибудь посолидней вроде Tripwire. Если же МаксПатрол уже развернут, то эту фишку там легко прикрутить, но она не так часто будет работать, как в системах с агентами на ОС.

Если хочется все по-коммунистически бесплатно сделать, рекомендую OSSEC в качестве SIEM, его же в качестве контроля целостности или Samhain. Внедрить тоже можем, если надо, но тут уже придется платить. Самое сложное - это понять какие записи в логах важны, а какие нет, это мы тоже можем, кстати.

e1am0 June 28 2011, 10:53:15 UTC

я пока просто сориентироваться в этой теме. задача пока туманно обрисована, а про патрол у лукацкого прочитал и зацепился глазом за контроль изменений, просто не очень понял, как он организован

touzoku June 28 2011, 11:52:16 UTC

Ну макспатрол периодически сканит то, что ему скажешь. Заодно и проверяет файлы на предмет изменения содержимого (путем сравнивания хэшей). Так и работают все системы контроля целостностей. Просто MP удаленно это делает, т.е. логинится на тачку и шевелит там скриптики, а обычные решения, как правило, агента своего держат в операционке, который это локально выполняет каждую минуту, скажем.

e1am0 June 28 2011, 13:30:39 UTC

т.е. получается, что есть некий промежуток, когда можно поменять, а потом вернуть взад как было...
спасибо

Thread 5

pagurian June 28 2011, 14:10:38 UTC

Не упомянули Symantec SIM и Q1 labs.

Ну и как классический кулик, рекомендую повнимательнее посмотреть на RSA enVision
На английском - http://www.rsa.com/node.aspx?id=3170
На русском - http://www.demos.ru/security/network_management/
и http://www.demos.ru/security/security_lib/security_lib_page.html
Если что - в личку, либо комментарием.