OpenSource инструментарий SIEM для контроля за действиями сисадминов: есть ли смысл и что можете посоветовать?

коллеги, как я понял из предыдущей дискуссии (http://www.linkedin.com/groupItem?view=&gid=1220117&type=member&item=20270410&qid=6e853f2a-44c7-45f4-8db2-2506810fb3b8&goback=%2Egmp_1220117), инструментарий SIEM обширный - от средств IDS/IPS до антивирусов. меня в данный момент интересуют OpenSource решения, которые позволяют контролировать и анализировать действия администраторов в операционных системах, базах данных и приложениях, а также на сетевых устройсвах. Здесь упоминалось решение OSSIM, и еще список бесплатных утилит (из документа NIST SP 800-92 GUIDE TO COMPUTER SECURITY LOG MANAGEMENT).
Буду признателен, если поделитесь мнением относительно использования open source именно для контроля действий системных администраторов: 1) есть ли специально "заточенные" инструменты, 2) сложность настройки, 3) есть ли риски использования инструментов open source в информационной безопасности с точки зрения самой безопасности, 4) OpenSource vs Proprietary при условии дефицита бюджета на ИБ.

Gleb Paharenko • Я поддержу, что дело не в средстве SEIM.
Частично мониторить Windows админов можно и средствами Windows. Главное создать группу мониторинга, написать им рабочие инструкции, грамотно разделить полномочия между админами, что бы попытка повышения привилегий без заявки отслеживалась.

3 months ago

• • Delete
• • Flag as promotion

IhorStop Following Follow Ihor

Ihor Kravchuk • IMHO настоящее рабочее средство мониторинга действий администраторов это логирующие терминальные сервера. Ибо никакие логи с систем ,на которые админ ходит с правами админа вам не помогут.
Как пример : не встречал SIM систему, умеющую сообщить об "странном" отсутствии логов или задержек логов с контролируемых систем. Логирующие сервера можно как купить так и сделать самому.
Слегка попиарюсь:http://security-ingvar-ua.blogspot.com/2010/01/terminal-server-with-advanced-logging.html - сдесь описание тех. решения