Ming-der Wang bio photo

Ming-der Wang

The joy of logging everything.

Email Twitter Facebook Github

如果您公司電腦都已經利用 OSSEC 來做簡單的防護, 而且有將事件傳到 Elasticsearch 查詢主機, 但你還是少了及時通知的功能.

安裝 [Yelp/elastalert](https://github.com/Yelp/elastalert) 可能是一個簡單的方法, 可以設定任何 Elasticsearch 搜尋條件情況下, 做通知. 除了 Email 通知以外, 也可以通知 Slack, Telegram, JIRA, Gitter, AWS SNS, MS Teams 等.

如果你的 logs 資料, 還經過 Logstash 處理, 更能針對固定欄位, 例如 login 的 IP 位置, 時間, 頻率, 做更細的分析與告警. 以下 rule 範例, 就是在 10 分鐘內如果有發生一次以上等級 15 的 OSSEC 事件, 就利用 email 通知 admin@outlook.com. 15 等級已經是很確定主機被駭了, 需要馬上處理.

name: 15 - Severe attack - No chances of false positives. Immediate attention is necessary.
type: frequency
index: logstash-ming-ossec-syslog-new-*
num_events: 1
timeframe:
    minutes: 10

filter:
- query:
    query_string:
      query: "rule_level: 15"

alert:
- "email"

email:
- "admin@outlook.com"
smtp_host: "smtp.mailgun.org"
smtp_port: 25
smtp:ssl: true
from_addr: "admin@log4analytics.com"
smtp_auth_file: '/opt/elastalert/smtp_auth_file.yaml'

##聯絡我們:

我們還提供以下專業服務及顧問諮詢

  • 資安相關 logs 檔案監看與管理系統建置
  • OSSEC, ELK 部署與教育訓練
  • Solidity - 智能合約與區塊鏈程式設計
  • Kubernetes - 企業如何使用 DevOps

請用電子郵件 sales@log4analytics.com或電話 0931-031-608(王先生)聯絡, 安排展示時間或諮詢.

桐立科技, Log4 Analytics 團隊, 集先鋒有限公司