Hola Visitante

Autor Tema: Integración OSSIM - Elasticsearch  (Leído 247 veces)

Berni69

  • Administrator
  • *****
  • Mensajes: 33
    • Ver Perfil
Integración OSSIM - Elasticsearch
« en: Febrero 22, 2018, 10:35:29 am »

Qué es ossim?


El software de seguridad OSSIM, del inglés  Open Source Security Information Management, es un conjunto de herramientas de seguridad (recogida de logs, monitorización, escaneo de vulnerabilidades,…) orquestadas para conseguir una solución de seguridad capaz  de correlacionar y detectar eventos de seguridad y vulnerabilidades en una infraestructura  determinada.


Tras haber gestionado ossim, me he dado cuenta que la integración de OSSIM con el mundo exterior es algo complicada.. expresiones regulares, creación de nuevos plugins, tener que pasar siempre por syslog,… Para evitar estos problemas se ha desarrollado un nuevo datasource de ossim para permitir la integración de OSSIM con elasticsearch.


El código se encuentra en mi repositorio público:


https://github.com/berni69/ossim-agent-elasticsearch


El código que se debe añadir a ossim es:


ParserElastic.py

ElasticDetector.py


Además se debe modificar el componente Agent.py (línea 559 aprox) para añadir un nuevo tipo de datasource.



                elif plugin.get("config", "source") == "elasticsearch":
                    parser = ParserElastic(self.conf, plugin, None)
                    parser.start()
                    self.detector_objs.append(parser)

Para que esto funcione se debe añadir la librería de elasticsearch para python:



pip install elasticsearch

Ejemplo de configuración:


https://raw.githubusercontent.com/berni69/ossim-plugins-elasticsearch/master/elasticsearch-example.cfg