En el siguiente articulo veremos como implementar un Security Incident Response Platform (SIRP) basado en software open source en alta disponibilidad.
Como podemos ver en el diagrama, el agente de Wazuh HIDS envía los datos de todos los servidores a Wazuh Manager y ElasticSearch. ElastAlert observará los nuevos eventos y generará alertas en TheHive.
Leer másEn anteriores entradas ya vimos la instalación y configuración de graylog, en esta ocasión vamos a integrar graylog con nuestro controlador de dominio para poder acceder.
Accedemos a System > Authentication
Seleccionamos la opción Active Directory, rellenamos la ip y un usuario para realizar una prueba de conexión.
Indicamos donde se encuentran los usuarios y grupos en nuestro actrive directory
Realizamos una prueba de conexión.
Una vez configurado y comprobado que realiza la conexión, damos a guardar.
:wq!
RSyslog te permite no solo configurar los logs en local, donde los recolectaremos y con que prioridad, sino también aceptar conexiones remotas con el fin de recibir logs de otros equipos y poder centralizar todas estas operaciones de logueo.
Graylog2 es un sistema Open Source (GPLv3) que nos permite centralizar los logs de sistemas afines para facilitar el análisis en tiempo real de nuestros sistemas.
Instalación:
Añadimos los repositorios
echo «deb http://ftp.debian.org/debian jessie-backports main» > /etc/apt/sources.list.d/backports.list
apt-get update && sudo apt-get upgrade
Instalamos el software necesario:
apt-get install -t jessie-backports apt-transport-https openjdk-7-jre-headless uuid-runtime pwgen