Есть ли у кого-либо готовый разборщик событий логов от Microsoft Active Directory и Exchange?


(Alexander) #1

Коллеги, приветствую!

Я и мои коллеги сейчас настраиваем ElasticSearch + X-Pack для работы в качестве сборщика логов для событий информационной безопасности (что-то вроде обрезанного SIEM). Настраиваем для двух систем - AD и Exchange.

Проблема в том, что количество различных кодов ошибок и сообщений просто невероятное, и для каждого из них нужно провести классификацию и описание, чтобы потом можно было работать с итоговыми данными в отчетах.

Насколько я понимаю, в дорогих системах типа HP ArcSight изначально защито описание всех этих кодов, и есть готовые политики по мониторингу и обраружению угроз.

Возможно, кто-либо уже сталкивался с этой проблемой - может быть есть уже готовые для загрузки в Elastic конфиги, в которых описаны все эти коды ошибок и сообщений AD, Exchange? Или возможно где-то есть инструкции, как автоматизировать процесс подготовки таких конфигов?

Всем заранее спасибо!


(system) #2

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.