Релиз Sagan 0.2, системы мониторинга событий информационной безопасности

25 августа 2011 года

Представлен второй релиз проекта Sagan, в рамках которого развивается многопоточная система для мониторинга появления в логах событий, связанных с безопасностью, и реагирования на эти события в режиме реального времени. Sagan относится к категории систем управления инцидентами и событиями информационной безопасности ( SEIM - Security Information & Log Management). Для определения заслуживающих внимания событий используя правила, похожие на правила Snort. При выявлении описанного в правилах события, вызывается специальный обработчик, который может, например, отправить уведомление ответственному персоналу, запустить внешнюю утилиту, передать событие в бэкенд Prelude или сохранить информацию об инциденте в базе данных или отдельном логе.

Sagan может быть использован и как централизованная система обработки системных журналов, и как система для мониторинга логов на отдельных серверах. При помощи Sagan можно организовать сбор логов из различных источников (логи маршрутизаторов, межсетевых экранов, коммутаторов, журналы событий Windows, системные журналы Unix-подобных систем, логи отдельных приложений и т.п.) с сохранением результатов их анализа в централизованной базе данных, единой с базой, ведомой IDS-системой Snort. Для анализа данных в такой базе можно использовать стандартные программы, такие как Snorby. Важной особенностью Sagan является возможность сопоставить выявленные в логах события и информацию, полученную через системы обнаружения и предотвращения сетевых вторжений (IDS/IPS).

Код Sagan поставляется под лицензией GPL, написан на языке Си и отличается высокой производительностью. Обработка логов ведется в отдельных потоках, поэтому выполнение связанных с реакцией на события действий, таких как отправка email или обращение к внешней СУБД, не приводит временному блокированию работы анализатора. Правила для задания сигнатур полностью совместимы со Snort, поэтому с ними можно использовать сторонние утилиты управления правилами, такие как Oinkmaster. Кроме того, Sagan можно использовать как дополнительный сенсор для Snort, что позволяет добиться очень плотной интеграции данных пакетов. Например, появляется возможность просмотра выявленных в логах событий через стандартные пользовательские интерфейсы Snort.

При подготовке Sagan 0.2 основное внимание было уделено устранению ошибок и повышению стабильности. Из наиболее важных изменений (Архивная копия от 11 декабря 2017 на Wayback Machine) отмечается реструктуризация способа обработки данных, налаживание работы режима изолированного выполнения (--chroot) и устранение проблем при организации прямой записи в базу данных, ведомую Snort. Кроме того, в новой версии удалена поддержка Logzilla, так как она выходит за рамки Sagan, и режима "--program", который мог работать только с syslog-ng и не отличался хорошей эффективностью. В будущих версиях планируется обеспечить поддержку плагина Snortsam (Архивная копия от 11 февраля 2021 на Wayback Machine), используемого для автоматизации блокирования IP-адресов и поддерживающего работу с большим числом межсетевых экранов.