Technology

Open source software to build SIEM

SIEM是企业安全运营中心的核心引擎,用于收集、分析和存储安全事件信息并为安全运营的各个流程提供决策信息。SIEM极为复杂,因此绝大多数企业都选择购买价格不菲的商业产品/服务。 但是,高企的价位和运营成本使SIEM成为大型企业才能享用的网络安全“奢侈品”,对于很多安全预算有限的中小型企业,部署SIEM会挤占大量研发、营销和人才预算。 云安全公司SOCFortress认为,网络安全是一种权利,而不应该是特权。该公司推荐了一整套开源工具来帮助企业搭建功能不输商业产品的开源SIEM(甚至SOC)方案,整理如下: 构成SIEM堆栈的关键要素 我们首先需要了解SIEM堆栈的关键构成。如果没有合适的工具,安全团队将很难检测、评估、分类和响应安全事件。随着网络的增长和采集日志量的增加,这一点尤其重要。 以下是必须整合到SIEM堆栈中的关键功能模块。 1. 日志采集 2. 日志分析 3. 后端存储 4. 可视化 5. 智力充实 6. 案例管理 7. 自动化

Read More
Technology

File Server creates directory schema

1、目录结构的设计,从根目录到底层目录不要超过3-4层,太深了,权限难以操作。 2、用户所能够用到的策略,由共享权限和安全权限来决定,取其交集。如果在同一对象向上存在权限设置冲突,取并集 3、以部门架构设计目录结构的,以部门发生变化后,目录的最少移动或者不移动为优先 4、从根目录到底层目录,尽量保持继承,如果需要,底层断掉。如果目录结构不符合这一特性,应予以重新设计。 5、所有权限赋予都应以组为最小单位,哪怕使用者只有一个成员。 6、尽量简化权限设置复杂性,不论它是来自设计还是操作上的。如果不同的目录结构设计导致不同的结果,取最优者。 7、无论拥有多合理的备份,都请保留一份目录架构及权限设置清单。 8、在设置目录权限的时候,从根目录到子目录,由上至下逐层设置,不到万一,切忌向下对子目录套用权限。 另外要说到一个设立共享目录时遇到的权限及安全策略的问题,这也是很多朋友们经常问到的问题。当设置共享目录的时候,在设置权限的时候,需要设置两个权限:共享权限和安全权限。当用户连接这个目录时,系统先校验共享权限,如果允许访问再校验安全权限。 用户最终需要使用对该目录具有什么权限的帐户连接,取决于共享权限和安全权限的交集。当前两个权限在同一对象上发生冲突或者叠加时,取最严格的设置。这就是为什么有的朋友经常问,为什么我已经将权限设置为完全控制了,却还是无法写入?那么您可以注意一下共享权限可能设置为只读了。这同系统也有关系,在win2k上共享建立之初默认就是完全控制,而安全性更高的winxp and win2k3,默认状况下就是只读。 安全权限设置方面,如果在同一对象上,安全权限出现冲突或者叠加,那么最终的结果取合集。比如,一个用户属于a群组,也属于b群组,a群组对当前目录只读,而b群组可写,那么最终该用户对于当前目录就可读可写。 再就是安全策略的问题,上面我们说到winxp and win2k3在安全性上有很多改进,其中就包含一个安全策略:网路存取:共用和安全性模式用于本机帐户(抱歉,手边一时没有简体系统,这里所使用的是繁体词汇),winxp and win2k3上默认状态下,为安全起见,该策略项的设置为:仅使用于来宾-本机使用者以Guest验证。这个设置将会导致用户端在连接时候,远端主机提示存取被拒,或者用户名仅显示为Guest而无法更改。 您当然可以通过在远端主机上执行gpedit.msc,将此策略项的设置更改为:传统-本机使用者以自身身份验证,从而得以顺利连接,但有个更为方便的做法:在资源管理器-文件夹选项-高级 中取消勾选“简单文件共享”,在确定之后,您会发现上面的策略项已经发生了变化。这两个地方的设置是一一对应的,反之亦然。

Read More