Tổng quan OSSEC

992

Ossec là mọt “full plastform” mã nguồn mở để giám sát và điều khiển hệ thống logs. Là giải pháp tổng hợp pha trộn của các hệ thống:
– HIDS (host-based intrusion detection),
– Log monitoring
– SIM/SIEM together in a simple
Những lợi điểm chính:
– Multi platform: Hỗ trợ Linux, Solaris, AIX, HP-UX, BSD, Windows, Mac and Vmware ESX
– Cấu hình cảnh báo real-time: SMS, email
– Có thể tích hợp với hệ thống hiện thời như là một SIM/SEM (Security Incident Management/Security Events Management)
– Quản lý tập trung
– Giám sát mềm dẻo agent
Những tính năng chính:
– Kiểm tra tính toàn vẹn của file, cảnh báo mỗi khi có sự thay đôit file, thư mục, registry windows. (PCI DSS phần 11.5 và 10.5.5)
– Có sử dụng MD5/SHA1 checksums, hỗ trợ cấu hình file được check, tần suất, thời gian,…
– Log monitoring: cho phép thu thập, phân tích, phối hợp log để nhận diện tình huống đang xảy ra đối với hệ thống: attack, misuse, errors. (PCI DSS phần 10)
– Phát hiện rootkit malware dựa trên signature.
Mô hình hệ thống
Hệ thống Ossec tuân theo mô hình client-server, bao gồm:
– Các agent được cài đặt trên các máy client hoặc hổ trợ tính năng agentless <đối với hệ thống không thể cải agent được>
– Phần quản lý giám sát cài đặt trên một máy server local
Các modun chức năng của Ossec Agent và Ossec Server
– OSSEC Agent :
•  Logcollectord: Read logs (syslog, wmi, flat files)
•  Syscheckd: File integrity checking
•  Rootcheckd: Malware and rootkits detec8on
•  Agentd: Forwards data to the server
– OSSEC Server:
•  Remoted: Receives data from agents
•  Analysisd: Processes data (main process)
•  Monitord: Monitor agents
Log analysist hỗ trợ phân tích khá nhiều định dạng log.
Alert output:
– Syslog servers
– Qua email
– Ra Database: MySQL or PgSQL
Mô hình kiến trúc xây dựng hệ thống quản lý log với Logstash và ElasticSearch

Trong hệ thống này, các agent cài đặt trên máy trạm sẽ được cấu hình gửi dữ liệu log lên server. Logs tập trung này được xử lý bằng các công cụ xử lý logs Logstash, ElasticSearch, saiu đó đưa ra cảnh báo hoặc kết quả truy vấn trên Web browser bằng Kibana.
OSSEC trong OSSIM
OSSIM: Open Source Security Information Management
Trong hệ thông OSSIM, Ossec được xếp vào thành phần xử lý phát hiện các nguy cơ mất an ninh cùng với snort và suricata.

Tích hợp OSSEC trong hệ thống OSSIM

Đánh giá
Là một giải pháp mã nguồn mở có những chức năng nổi bật như:
– Hoạt động trên đa nền tảng Window, linux;
– Có khả năng phát hiện rootkit, malware;
– Tích hợp với nhiều công cụ quản lý an ninh thông tin khác;
Ossec là giải pháp quản lý log tập trung, có khả năng phát hiện nguy cơ an ninh đáng được quan tâm nghiên cứu sâu, thử nghiệm để áp dụng cho việc giám sát các server của công ty.