安全监控所需要的几种日志源。
1、IDS
2、流量
3、WAF
4、主机日志
5、应用日志
为了达成我们初期的目标,即做一套完整的开源监控方案,我们就需要找到对应的开源设备或者编写对应的脚本文件来搞定是上述内容。
经过调查,开源IDS主要为Snort。
开源流量分析设备还需从这当中筛查(http://wenku.baidu.com/link?url=bh60Flv0galWAkkI53u4dEdLQyyr2z4WazyOcyQ2HiTkHEDcB40n39pTSdR3DBZw6jl05Jr7Vxfgn5nqcXsG1tOC_Ex2P78T7x7TCY3fMJS)
开源WAF也需要从中筛选(http://wenku.baidu.com/link?url=gtpqkPisTRgc_SABvlxYBej1S8134qogKYcnfYLpSYZQKxkz22gvHm_4LndChbRHWueJ0OaDhhkX-kcvQsQ8BroOj4AgmbQa3kYGPIuazwG)
主机日志主要分为windows日志和linux日志,linux日志可以通过linux自带syslog接口进行外发,windows日志则需要开发一个小的agent来配合soc采集系统日志。
应用日志主要分为IIS和Apache两种,其中IIS可以通过windows日志一并外发,Apache日志也可以通过linux的syslog日志进行外发,或者通过windows的agent进行抓取外发。
而总体的SOC则使用 OSSIM 。
给自己接下来的工作列下几个小目标:
1、基于一款主流linux,部署一套OSSIM
2、基于一款主流linux,部署一套Snort
3、基于一款主流linux,部署一套基于Apache的内容管理系统,基于网上的CMS
4、将linux系统日志、Apache日志和Snort日志发送到OSSIM上,进行解析和处理。
5、研究开源流量分析,选定一款产品,进行部署尝试,然后将日志发送到OSSIM上进行解析处理。
6、研究开源WAF,选定一款产品,进行部署尝试,然后将日志发送到OSSIM上进行解析处理。
7、研究Windows Server日志外发的Agent编写与发送,尝试发送windows系统日志和IIS日志。
刚写完之后看了一下
开源安全运维平台--OSSIM最佳实践
这本书的目录
基本上我要干的活都在里面了。入手一本照着弄吧。