LINUX.ORG.RU

Выпущена новая версия SIEM Prelude OSS 1.2.5

 ,


1

2

В свет выпущена новая версия открытой универсальной системы управления событиями ИБ Prelude 1.2.5, которая позволяет собирать, нормализовывать, сортировать, агрегировать, коррелировать между собой и отображать события в удобной форме через WEB-интерфейс. После возвращения из годичного «отпуска» создателя и ведущего разработчика Yoann Vandoorselaere также разрабатывающего PRO и Enterprise версию и являющегося одним из создателей формата данных и процедуры обмена информацией в IDS системах IDMEF в проект снова вдохнули жизнь и внесли долгожданные исправления.

Проект развивается более 10 лет и имеет возможность обработки информации со многих известных HIDS/NIDS систем, таких как Snort, OSSEC, Suricata, Samhain и многих других использующих IDMEF стандарт, также в комплекте поставляется набор из PCRE-плагинов для преобразования лог файлов различных приложений. Стоит также заметить что крупная российская страховая компания интегрировала Prelude в свою систему обеспечения безопасности.

Некоторые изменения в новой версии:

  • Добавлена возможность проверки правил PCRE;
  • Исправлена система сборки;
  • Добавлена возможность объединения оповещений по источнику

>>> Подробности



Проверено: Shaman007 ()
Последнее исправление: ymn (всего исправлений: 4)

Ответ на: комментарий от DeadEye

Ну очевидно для обработки логов приложений и данных от систем предупреждения о вторжениях, чтобы вовремя диагностировать целенаправленные воздействия извне.

AVL2 ★★★★★
()
Ответ на: комментарий от multihead

Кроме того оно спроектировано и написано Русскими!

Сейчас примчатся здешние шизики с криками «ко-ко-ко рашка ватник скрепы».

dexpl ★★★★★
()
Ответ на: комментарий от multihead

Оно еще живое? Юзал для ловли снмптрапов с ~350 коммутаторов с еще самой первой публичной версии, даже правила какие то пилил )

anonymous
()
Ответ на: комментарий от dexpl

Сейчас примчатся здешние шизики с криками «ко-ко-ко рашка ватник скрепы».

Чего ты сразу «шизики» им госдеп денги за предательство платит и следит чтоб отработали..

Есть разрабы и с других стран, но их вклад незначителен.

multihead
()
Ответ на: комментарий от anonymous

Юзал для ловли снмптрапов с ~350 коммутаторов

у меня с 2000 коммутаторов в день 500000 сообщений молотит на одном среднем серваке.

Есть возможность просто по REST интерфейсу дёргать сетевые ошибки и передавать в другие системы: билинг, helpdesk с которыми привык колцентр работать.

multihead
()
Ответ на: комментарий от multihead

более мощное средство чем Prelude

Всёже область применения разные. Конечно можно приспособить NOC Operation Support System (OSS) как полноценный Security Information and Event Management (SIEM), но действительно это Огромная работа и легче будет переписать для этих целей less :-)

Rainer
() автор топика
Ответ на: более мощное средство чем Prelude от Rainer

NOC специализируется, кроме прочего на Security Information and Event Management (SIEM) причём среди свободного ПО аналогов по качеству и возможностям нет.

Кроме сохранения, классификации события как опасного (распознавание от оборудования многих производителей), проводится анализ влияния этого события на сеть и информирование персонала, а также выполнение определённых скриптов и команд на оборудовании.

multihead
()

Блин. Канонические сепульки.

новая версия <...> универсальной системы управления событиями <...>, которая позволяет собирать <...> и отображать события

intelfx ★★★★★
()
Ответ на: комментарий от intelfx

Таки да! Похожи на муравки НО

С уклоном на security и без обратной связи как в NOC Fault Management т.к. в задачи это не входит и при построении периметра безопасности этим занимается IPS который также сообщает в SIEM в виде IDMEF для корреляции c сообщениями от IDS. Можно рассматривать как Web-GUI к перечисленным HIDS/NIDS системам.

Rainer
() автор топика

Еще было бы неплохо иметь opensource «агрегатор» (типа HP BSM) сообщений от различных систем мониторинга.

zooooo
()
Последнее исправление: zooooo (всего исправлений: 1)
Ответ на: комментарий от diver

Это внешний сайт на каком-то вражеском хостинге. Уже подняли...

multihead
()
Ответ на: комментарий от intelfx

Блин. Канонические сепульки.

Если для тебя NIDS, SIEM и IDMEF ничего не говорят - не расстраивайся, проходи мимо.

Я вон например в 3D-рендеринге не шарю, так что стараюсь в соответствующих темах не отсвечивать.

Pinkbyte ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.