Идея предоставить малому и среднему бизнесу (от 5 до 500 хостов) простой и бесплатный инструмент мониторинга событий компьютерной безопасности является не просто интересной, но и поможет небольшому бизнесу в решении задач информационной безопасности. LittleBeat – это попытка воплотить идею в жизнь от системного архитектора нашей компании, Евгения Соколова.
LittleBeat : Вместо вступления
Представим ситуацию - в компании вообще не выделяются деньги на технические средства ИБ, а обеспечение информационной безопасности никто не отменял. В таком случае, на помощь спешит Open Source, который, надо сказать, помогает еще и обкатать технологии, а потом уже рассмотреть коммерческие решения
Что такое "безопасная информационная система"? Это система, о которой вы знаете зачем она нужна, из чего состоит, как работает, кто и с какой целью ее использует. Причем знаете в каждый момент времени. LittleBeat - программный аплаенс, который в этом помогает.
LittleBeat : Что это и зачем
Это программный аплаенс собранный на основе стека ELK с учетом собственного опыта сбора и анализа событий информационной безопасности.
Основное предназначение - сбор журналов событий Windows и представление их в виде удобном для ответа на вопросы: «как это работает?», «что за программы там запускаются?», «кто и с какой целью это использует?». Но собирать можно не только логи Windows. VMware ESX или Cisco ASA сюда тоже поместятся, просто для Windows он «заточен».
НА ЗАМЕТКУ! Благодаря дополнению Wazuh Addon, аплаенс может анализировать и другие среды - Linux, Solaris, Mac OS X.
ELK позволяет проводить мониторинг и анализ событий собственными глазами и головой, что компенсирует отсутствие "наборов правил". В небольшой компании этого вполне достаточно.
НА ЗАМЕТКУ! расшифровывается как elasticsearch, logstash и kibana. Это решение предназначено для сбора, хранения и анализа данных.
LittleBeat: Технические требования
LittleBeat предназначен для установки на физическую или виртуальную машину Ubuntu Server 16.04 LTS. Разумеется, он может использоваться как обычный узел ELK, никаких ограничений нет, просто изначально настроен именно для сбора, хранения и представления данных из журналов Windows.
Для установки необходима виртуальная или физическая машина Ubuntu Server 16.04 LTS. Рекомендуется минимальная установка системы с дистрибутива с выбором только сервера SSH и стандартных системных утилит в качестве дополнительных опций. Рекомендуется статическая настройка IP или фиксация адреса на сервере DHCP.
Во время установки необходим доступ в Интернет, как для доступа к репозиториям, так и для установки дополнительных плагинов Logstash.
Рекомендуется не менее 8 ГБ оперативной памяти. Мощность процессоров значения не имеет, процессор класса Intel Atom х64 вполне подойдет. Рекомендуемый объем дисковой памяти не менее 100 ГБ, скорость дисковой подсистемы существенного значения не имеет.
НА ЗАМЕТКУ! Рекомендуется иметь в сети сервис DNS и настроенные записи PTR для хостов, но это не обязательно.
После установки, на аплаенсе появится общедоступная (только для чтения) SMB-папка agents. В ней будут находиться сконфигурированные агенты Winlogbeat и Metricbeat и скрипты для их автоматической установки. Их можно использовать как для ручной установки на хосты, так и для какой-либо системы автоматической установки (проверено с MS System Center Configuration Manager). Кроме того, в этой же папке находится файл win-audit-set.bat, которым можно настроить политику аудита Windows, в том числе "Домашней версии", не имеющей соответствующего редактора политик. Этот файл не зависит от языка системы, поскольку использует GUID идентификаторы политик, а не их названия.
LittleBeat: Установка
Во время установки на вашем сервере будет создан пользователь little (пароль вы зададите сами). Этому пользователю будут заданы uid=0 и gid=0, то есть он станет рутом
Образ диска здесь:
Для работы с виртуальной машиной просто подключите littlebeat-5.5.001.iso в качестве cdrom, для работы с физической машиной создайте из этого образа cdrom или flashdrive, или скопируйте littlebeat-5.5.001.iso на машину, например, используя WinSCP, и смонтируйте его в какую-нибудь папку.
Перейдите в папку, в которую смонтировали диск, сделайтесь рутом (sudo su) и запустите скрипт run.sh.
Пример для запуска с cdrom:
mkdir ~/littlebeat
sudo mount -t iso9660 -o ro /dev/cdrom ~/littlebeat
cd ~/littlebeat
sudo su
bash run.sh
Пример для запуска со смонтированного iso:
mkdir ~/littlebeat
mount -t iso9660 -o loop ~/littlebeat-5.5.001.iso ~/littlebeat
cd ~/littlebeat
sudo su
bash run.sh
Подключитесь к консоли аплаенса от имени пользователя little и продолжайте установку и настройку системы (запустится последовательность меню). После завершения установки появится основное меню управления системой. Рекомендуется сразу настроить здесь обзор IP сетей и запустить его (обзор также запускается автоматически, кроном, каждые 2 часа). Затем в браузере на своей рабочей машине заходите на . Исходные коды вы найдете на githab, там же wiki с описанием
Коллеги, я продолжаю доработку инструмента и буду рад вашим комментариям и предложениям.
Евегний Соколов,
системный архитектор
ГК ANGARA
