LogESP

LogESP (c) 2018 Dan Persons | MIT License

Index

• Введение
• Установка на Ubuntu
• Скриншоты

Документация по управлению активами

• Управление активами

Документация по управлению рисками

• Угрозы со стороны злоумышленников (docs/risk/adv_threat.md)
  • События, связанные с угрозами со стороны злоумышленников (docs/risk/adv_threat.md#события-связанные-с-угрозами-со-стороны-злоумышленников)
  • Источники угроз со стороны злоумышленников (docs/risk/adv_threat.md#источники-угроз-со-стороны-злоумышленников)
  • Уязвимости (docs/risk/adv_threat.md#уязвимости)
  • Меры реагирования (docs/risk/adv_threat.md#меры-реагирования)
  • Последствия (docs/risk/adv_threat.md#последствия)
• Не связанные со злоумышленниками угрозы (docs/risk/nonadv_threat.md)
  • Связанные с не связанными со злоумышленниками угрозами события (docs/risk/nonadv_threat.md#связанные-с-не-связанными-со-злоумышленниками-угрозами-события)
  • Не связанные со злоумышленниками источники угроз (docs/risk/nonadv_threat.md#не-связанные-со-злоумышленниками-источники-угроз)
  • Условия возникновения рисков (docs/risk/nonadv_threat.md#условия-возникновения-рисков)
  • Меры реагирования (docs/risk/nonadv_threat.md#меры-реагирования)
  • Последствия (docs/risk/nonadv_threat.md#последствия)

Документация SIEM

• Анализ данных (docs/siem/parsing.md)
  • Анализатор (docs/siem/parsing.md/#анализатор)
  • Анализ событий (docs/siem/parsing.md/#анализ-событий)
    • Парсеры (docs/siem/parsing.md/#парсеры)
    • Вспомогательные средства для анализа (docs/siem/parsing.md/#вспомогательные-средства-для-анализа)
  • Конфигурация (docs/siem/parsing.md/#конфигурация)
• Правила (docs/siem/rules.md)
  • Демон сторожевого компонента (docs/siem/rules.md/#демон-сторожевого-компонента)
  • Ограничивающие правила (docs/siem/rules.md/#ограничивающие-правила)
    • Правила и события в журнале (docs/siem/rules.md/#правила-и-события-в-журнале)
    • Фильтры (docs/siem/rules.md/#фильтры)
    • Списки совпадений (docs/siem/rules.md/#списки-совпадений)
    • Обратное сопоставление (docs/siem/rules.md/#обратное-сопоставление)
    • Расчёт величины (docs/siem/rules.md/#расчёт-величины)
• События (docs/siem/events.md)
  • Структура события журнала (docs/siem/events.md/#структура-события-журнала)
  • Структура событий правил (docs/siem/events.md/#структура-событий-правил)
• Демоны (docs/siem/daemons.md)
• Советы по использованию регулярных выражений (docs/siem/regex.md)

Введение

LogESP — это система управления информацией о безопасности и событиями (Security Information and Event Management), написанная на Python Django. Она имеет веб-интерфейс и предназначена для управления журналами, криминалистического анализа, управления рисками и активами.

Принципы проектирования

Безопасность

LogESP была разработана как приложение для обеспечения безопасности, и минимализм может быть полезен для безопасности.

• LogESP построена на основе фреймворка Python Django.
• LogESP не требует учётных данных или установки своего программного обеспечения на источниках журналов. Пересылка событий полностью зависит от демонов syslog.
• Веб-интерфейс LogESP не использует клиентский скрипт.

Рекомендации NIST

Система управления рисками LogESP основана на рекомендациях NIST по оценке рисков, а приложения SIEM и криминалистики разработаны для поддержки рекомендаций NIST по реагированию на инциденты и криминалистике.

Простота

LogESP следует философии Unix. Он разработан так, чтобы быть максимально простым, чтобы его было легко понять, использовать, поддерживать и расширять.

Приложения

LogESP включает несколько различных приложений:

• SIEM — управление информацией о безопасности и событиями;
• Активы — управление активами;
• Риски — управление рисками.