Новости
Запуск новой услуги: Video on Demand (VoD) уже в панели управления!
Serverspace Black Friday
KA
мая 26, 2023
Обновлено июля 24, 2023

Настройка Siem-системы в Debian

Debian Сети

В этой инструкции мы расскажем об управлении SIEM—системой, настройке и обслуживании, а также о том, что может помочь повысить эффективность и скорость реагирования на кибер—инциденты и обеспечить повышенную безопасность вашей информационной системы. Изучим больше возможностей контроля кибер—инцидентов, основанных на корреляционном анализе и методах управления рисками.

SIEM-системы

SIEM (Security Event Management + Security Information Management) — системы, которые контролируют информационные системы, анализируют события безопасности в режиме реального времени, исходящие от сетевых устройств, средств информационной безопасности, ИТ—служб, системной и прикладной инфраструктуры, и помогают обнаруживать инциденты информационной безопасности. Проблемы обнаружения инцидентов в корпоративных сетях:

  • средства безопасности, серверы и сетевые устройства создают миллионы событий, терабайты журналов;
  • неэффективное реагирование на все инциденты: 50-95% из них являются ложными;
  • данные, полученные с помощью одного средства защиты, не позволяют выявить сложные и целенаправленные атаки;
  • события разбросаны по разным системам и десяткам отчетов;
  • нормативные требования в области информационной безопасности.

Настройка SIEM-системы

Перед установкой любого программного обеспечения необходимо обновить индекс и пакет в Debian:

sudo apt update && sudo apt upgrade -y
Обновление пакетов
Скриншот №1 — Обновление пакетов

Следующий этап: установка необходимых пакетов.

sudo apt-get install suricata
Установка
Скриншот №2 — Установка

Настройка Suricata

Для настройки Suricata используем команду:

sudo nano /etc/suricata/suricata.yaml
Настройка конфига
Скриншот №3 — Настройка конфига

В файле конфигурации установите соответствующий сетевой интерфейс для мониторинга Suricata:

default-log-dir: /var/log/suricata/
...
af-packet:
- interface: enp0s5
Настройка SIEM
Скриншот №4 — Настройка SIEM

Примечание: Замените «enp0s5» именем вашего сетевого интерфейса, для этого вы можете использовать команду ниже:

ifconfig
Сетевой интерфейс
Скриншот №5 — Сетевой интерфейс

Сохраните и закройте файл конфигурации. Запустите Suricata:

sudo suricata -c /etc/suricata/suricata.yaml -i enp0s5 --init-errors-fatal
Проверка работы
Скриншот №6 — Проверка работы

Убедитесь, что Suricata запущена, проверив ее лог-файлы:

tail -f /var/log/suricata/fast.log

В результате система вывода будет выглядеть как строка с информацией о ваших настройках, если вы не введете какое-либо значение, то получите соответствующий ответ.

Заключение по настройке SIEM-системы

В заключение, настройка системы SIEM с открытым исходным кодом на Debian является важным шагом на пути к повышению безопасности информационных систем для малого и среднего бизнеса. Отслеживая и анализируя события безопасности в режиме реального времени, SIEM—системы помогают выявлять потенциальные инциденты безопасности. Однако обнаружение инцидентов в корпоративных сетях может быть сложной задачей из-за большого объема событий, генерируемых различными инструментами и устройствами безопасности. При правильно настроенной системе SIEM предприятия могут эффективно управлять кибер—инцидентами на основе корреляционного анализа и методов управления рисками, обеспечивая тем самым режим повышенной безопасности своей информационной системы.

Оценка:
5 из 5
Аverage rating : 5
Оценок: 1
220140 Минск ул. Домбровская, д. 9
+375 (173) 88-72-49
700 300
ООО «ИТГЛОБАЛКОМ БЕЛ»
700 300

Вам также может быть интересно...