OSSEC řešení v.3 architektura

Popis výhod a změny v systému Ossec v3

Ossec a jeho výhody, novinka SCAP v systému logování

Ossec je nyní plně integrován do systému s Elastic Stack. Nově zde přibývá důležitá kontrola CIS a SCAP, která se vyvinula do komplexnějšího řešení. Níže je uveden stručný popis těchto nástrojů.

OSSEC v3

OSSEC HIDS je hostitelský systém detekce narušení (HIDS) používaný jak pro detekci zabezpečení, tak pro sledování stavu a pro sledování dodržování předpisů. Je založen na multiplatformním agentu, který předává požadované údaje (např. Protokolové zprávy, hash souborů a zjištěné anomálie) centrálnímu správci, kde je dále analyzován a zpracováván, což vede k bezpečnostním výstrahám. Agenti předávají data události centrálnímu manažerovi prostřednictvím zabezpečeného a ověřeného kanálu.

OSSEC HIDS navíc poskytuje centralizovaný server syslog a systém pro monitorování konfigurace bez agenta, který poskytuje bezpečnostní informace o událostech a změnách na zařízeních bez prostředku, jako jsou brány firewall, přepínače, směrovače, přístupové body, síťové zařízení atd.

Nově je vylepšena část systému pro komunikaci s ELK, kde je komunikace prováděna ve formátu JSON, který nahrazuje syslog. Tento formát má výhodu v tom, že drží všechny informace od vzniku v systému, až po jeho uložení do systému ELK. Znamená to pak více vizualizací a také přehledný odhad příchozích problémů. Je to veliká a podstatná výhoda pro další zpracování v systému.

SCAP

SCAP je dlouho známý systém, který se teď nově implementuje do systému Ossec. Zajišťuje implementaci protokolu OVAL (Open Vulnerability Assessment Language) a XCCDF (Extensible Configuration Checklist Description Format). Slouží ke kontrole konfigurace systému a detekci zranitelných aplikací. Tento systém podporuje RedHat/Centos přímo ve svých distribucích.

Je to dobře známý nástroj určený k ověření shody s bezpečnostními požadavky jednotlivých OS a obrany systémů pomocí průmyslových bezpečnostních standardů pro podniková prostředí.

Elastic Stack

Elastic Stack je softwarová sada (Logstash, Elasticsearch, Kibana), která slouží k shromažďování, analyzování, indexování, ukládání, vyhledávání a zobrazování dat protokolu. Poskytuje webový frontend užitečný pro získání přehledného zobrazení událostí na vysoké úrovni a také pro realizaci pokročilé analýzy a uchování dat hluboko ve vašem úložišti událostí.

Vizualizace změny

Nově po vygenerování správcem jsou výstrahy odeslány do složky Elastic Stack, kde jsou obohaceny například informacemi o geolokaci atd. a zaindexovány. Kibanu lze pak použít k vyhledávání, analýze a vizualizaci dat. Viz níže:

File integrity check, Policy Monitoring, SCAP

Systém také zavádí nové monitorovací aktivity a je zde patrné, jak je propojen ossec z Elastic stackem.
Je to vidět na přiloženém obrázku:

Monitorování bezpečnostní politiky

SCAP je standardizované řešení kontroly souladu pro podnikovou infrastrukturu. Jedná se o řadu specifikací, které udržuje Národní institut pro normy a technologie (NIST) za účelem zajištění bezpečnosti podnikových systémů.

OpenSCAP je nástroj auditu, který využívá Formát popisného seznamu (XCCDF) pro rozšíření konfigurace. XCCDF je standardním způsobem vyjádření obsahu kontrolního seznamu a definuje kontrolní seznamy zabezpečení. V kombinaci s dalšími specifikacemi, jako jsou CPE, CVE, CCE a OVAL, vytváří kontrolní seznam ve SCAP, který je zpracován ověřeným řešení SCAP.

Všechny účty s prázdnými hesly by měly být okamžitě zakázány a konfigurace PAM by měla zabránit tomu, aby uživatelé mohli přiřadit prázdná hesla.

Kontroly SCAP se provádějí pravidelně (výchozí je jednou za den) a výsledky jsou nastaveny na server Ossec, kde jsou zpracovávány dekodéry a pravidly OpenSCAP. Níže je uveden příklad výstrahy vygenerované, když zásady auditu Linux (auditd) nejsou nakonfigurovány pro sledování uživatelských akcí:

Ossec WUI lze navíc použít k vizualizaci a analýze výsledků sledování

Komplexnost systému

Komplexnost systému je také patrna z obrázku jak se změnil datový tok systému.

Přidání zálohy pro textové informace v JSON přímo v ossec

Nově jsou přidány zálohy dat JSON v textovém režimu pro obnovení Elastic stacku. Data jsou pak možné použít pro znovu oživení Elastic stacku. Jsou umístěny v těchto adresářích.

Soubor /var/ossec/logs/archives/archives.json zálohovány jsou všechny události v systému.

 Soubor /var/ossec/logs/alerts/alerts.json má všechy aktuální eventy do elasticsearch.

Monitoring CIS systému v Ossec

Nově je také upravena verze CIS systému. Jsou to pravidla instalace nových systémů a jejich zabezpečení.