Kibana è una collezione di visualizzazioni, ricerche e mappe (in real-time); la fonte da cui Kibana preleva i dati è il motore Elasticsearch; i data-injector sono i Beats (tra cui Filebeat).
(more…)
Filebeat fornisce una serie di moduli preconfigurati che permettono di pre-analizzare i file di log sulle macchine su cui è installato, inviarli ad Elaticsearch/Logstash, e visualizzarli su dashboard preconfezionate in Kibana. Questi moduli supportano formati di registro comuni quali Nginx, Apache 2, MySQL, ….. (more…)
Filebeat è un data-injection dello Stack Eastic che permette la raccolta di dati e l’invio verso lo Stack (direttamente a Elasticsearch o tramite Logstash). Viene fornito con moduli built-in interni (Apache, Cisco ASA, Microsoft Azure, NGINX, MySQL e altri) che, tramite processi di apprendimento automatico preconfigurati, semplificano la raccolta, l’analisi e la visualizzazione dei formati di registro comuni.
Arricchiamo il nostro stack Elastic con l’installazione di X-Pack, un’estensione che aggiunge sicurezza e numerose feature importanti (alerting, monitoring, reporting, search profiler, Grok Debugger, machine learning, zoom levels in Elastic Maps Service, dedicated APM UIs, …).
Procediamo con l’installazione di Kibana, la parte dello Stack che ci permette di visualizzare ed analizzare i dati contenuti in Elasticsearch. (more…)
Elasticsearch è il motore di ricerca e analisi distribuito al centro dello stack Elastic. I vantaggi principali di Elasticsearch possono essere così brevemente riassunti:
ELK è l’acronimo di tre progetti open-source: Elasticsearch Elastcsearch è un motore di ricerca ed analisi opensource, RESTful (ossia basato su architettura distribuita e quindi flessibile e scalabile) e basato su JSON. Logstash Logstash è una pipeline di elaborazione dati, che prende come input dati da sorgenti eterogenee e in Read more…
Per l’installazione di OSSEC, utilizzeremo e configureremo l’ atomicorp repository. Esistono i repository per le maggiori distribuzioni Linux (potete consultare a questo indirizzo la lista completa). Esiste anche la possibilità di installare OSSEC tramite sorgenti oppure scaricare la VirtualAppliance (basata su CentOS 7.4, OSSEC 2.9.3, Elasticsearch-Logstash-Kibana 6.1.1 e Cerebro 0.7.2).
OSSEC (Open Source HIDS SECurity) è un sistema host-based intrusion detection system (HIDS); quello che è importante sottolineare che OSSEC è open source, rilasciato con licenza GNU General Public License (version 3).
Parto dal presupposto che la sicurezza informatica: NON è uno strumento; NON è un programma. Solitamente con il termine “sicurezza informatica” si identifica l’insieme delle tecnologie, tecniche e attività che mirano ad assicurare la protezione dei sistemi informatici a livello di disponibilità, confidenzialità e integrità dei dati; per ottenere questi Read more…