我已经安装了 OSSIM 服务器,我想检索远程 Nagios 服务器生成的警报,以便分析它们并执行安全事件的关联。
在动手之前,我想知道正确的方法是什么。
- 我是否需要配置 Nagios 以便将警报转发到 OSSIM 服务器?那可能吗?
- 我需要在运行 Nagios 的机器上安装 OSSEC 代理吗?如果是这样,我必须如何配置 OSSEC 和 Nagios?
- 还有其他解决方案吗?
谢谢!
更新:
它“几乎”有效,我可以看到 NAGIOS 警报通过 rsyslog 正确转发,但 OSSIM 将它们视为 syslog 的正常日志,因此它们不会被 NAGIOS 插件处理。由于我必须创建 OSSIM 规则以关联 NAGIOS 警报,因此我绝对需要使用 NAGIOS 插件处理 NAGIOS 警报。
以下是我想出的几个可能的解决方案: 开发一种插件来读取 syslog 日志,提取来自远程 NAGIOS 的日志并将它们发送到 OSSIM。为 OSSIM 开发插件有多复杂?配置 OSSIM 并用远程 NAGIOS 替换“嵌入式”NAGIOS。那可能吗?如果是这样,怎么做?配置 OSSIM 使其可以使用两个 NAGIOS,本地一个和远程一个。那可能吗?如果是这样,怎么做?通过 NSCA 协议将远程 NAGIOS 的警报推送到本地。那行得通吗?创建一个分布式 (DNX) NAGIOS 系统,并将本地 NAGIOS 配置为 master,将远程 NAGIOS 配置为 slave。那行得通吗?你们有什么感想?这些解决方案中的哪一个会起作用?你们有更好的主意吗?
谢谢。
您可以将 Nagios 设置为记录到 syslog,然后对其进行配置(例如 rsyslog)以将事件推送到 OSSIM(启用 rsyslog 以接收远程日志)。
无论如何,您可能希望在 Nagios 机器上安装 OSSEC,但这不仅仅是将事件输入 OSSIM 所必需的。