Kolejne kroki na rynkach Bliskiego Wschodu

W zeszłym roku informowaliśmy o tym, jak Energy Logserver wchodzi na rynki Bliskiego Wschodu. Teraz z naszym nowym partnerem z regionu MENA - CyberX pojawiliśmy się na kolejnej konferencji: Arab Security Conference.

Poniżej link do nagrania na Youtube, gdzie można obejrzeć całe przemówienie i prezentację jednego z naszych inżynierów - Szymona Ćwieki

Energy Logserver – nowy poziom integracji

Energy Logserver, jako narzędzie do zarządzania dużą ilością danych, zawsze będzie się starał integrować z jak największa ilością urządzeń i danych. Przedstawiamy nowe rozwiązanie, które pozwala odpytywać z poziomu OP5 Monitora i Nagiosa o dokumenty Elasticsearch. Wykorzystane mogą zostać zapisane obiekty i dokumenty.
Dzięki temu, możemy pozyskać jeszcze bardziej szczegółowe dane i uczynić monitoring infrastruktury IT bardziej spójnym i czytelnym.

Co więcej, skrypty wykorzystane do integracji są wystawione na licencji Apache-2.0. Zachęcamy do korzystania z nadzieją, że poprawi to jakość monitoringu.

Poniżej szczegóły projektu, oraz linki:
https://github.com/emca-it/check-elasticquery
https://github.com/emca-it/check-elasticquery/blob/master/check_elasticquery_6x.pl
https://github.com/emca-it/check-elasticquery/blob/master/check_elasticquery_7x.pl

This plugin check Elasticsearch query total documents. It is aimed to work with Energy Logserver, OP5 Log Analytics and is supposed to work with opensource Elasticsearch and x-pack.

Dependencies for Centos 7:
# yum install perl-Monitoring-Plugin perl-libwww-perl perl-LWP-Protocol-https perl-JSON perl-String-Escape perl-Data-Dumper

Usage
$ ./check_elasticquery.pl -U|--url= -i|--index=
[ -q|--query= ]
[ -S|--search= ]
[ -T|--timerange= ]
[--timefield=

Usage examples
Total documents in ‘beats*’ index for latest 24 hours. Latest 24 hours is default time range.

./check_elasticquery.pl -U 'http://user:password@localhost:9200' -i 'beats*'

Execute saved search named protection for latest 15 minutes. By default it checks @timestamp field, you can change it in –timefield option.

./check_elasticquery.pl -U 'http://user:password@localhost:9200' -i 'beats*' -S 'protection' -T 'now:now-15m'

As above plus show one latest document.

./check_elasticquery.pl -U 'http://user:password@localhost:9200' -i 'beats*' -S 'protection' -T 'now:now-15m' -D 1

As above plus filter output to selected fields.

./check_elasticquery.pl -U 'http://user:password@localhost:9200' -i 'beats*' -S 'protection' -T 'now:now-15m' -D 1 -f message,timestamp

As above plus limit output fields value to 100 characters.

./check_elasticquery.pl -U 'http://user:password@localhost:9200' -i 'beats*' -S 'protection' -T 'now:now-15m' -D 1 -f message,timestamp -l 100

Execute lucene query.

./check_elasticquery.pl -U 'http://user:password@localhost:9200' -i 'beats*' -q 'beat.name:example.com' -T 'now:now-15m' -D 1 -f message,timestamp

Execute json query. Time range option wouldn’t work. You should define time range in query.

./check_elasticquery.pl -U 'http://user:password@localhost:9200' -i 'beats*' -j -q ' { "size": 0, "query": { "bool": { "must": [ { "query_string": { "query": "task:\"Special Logon\"", "analyze_wildcard": true, "default_field": "*" } }, { "range": { "@timestamp": { "gte": "now-1d/d", "lte": "now/d" } } } ] } } } '

Energy Logserver major release 7.x

Energy Logserver major release 7.x

Najnowsza wersja Energy Logserver jest już dostępna. Najważniejszą zmianą jest fakt, że od tego momentu Energy Logserver jest oparty na wersji 7.3.2 Elasticsearch i Kibana.

Dodaliśmy również nowy moduł - XLSX Import, który pozwala importować bezpośrednio z GUI Energy Logserver dowolny plik w formacie csv lub xlsx z danymi. Dodatkowe opcje obejmują tworzenie nowego indeksu z niestandardowym mapowaniem na podstawie danych w pliku.

Domyślnie dodaliśmy również kuratora do pakietu instalacyjnego, celem zarządzania indeksami, a także niestandardowe ikony modułów.

Czytaj więcej w dzienniku zmian poniżej lub na:
https://energy-log-server-7x.readthedocs.io/en/latest/CHANGELOG.html

  • migrated features from branch 6 [ latest:6.1.8 ]
  • XLSX import [kibana]
  • curator added to /usr/share/kibana/curator
  • node_modules updated! [kibana]
  • elasticsearch upgraded to 7.3.2
  • kibana upgraded to 7.3.2
  • dedicated icons for all kibana modules
  • eui as default framework for login,raports
  • bugfix: alerts type description fix

Energy Logserver na SEMAFOR 2020

Energy Logserver na SEMAFOR 2020

Energy Logserver kontynuuje tradycję sprzed 2 lat i tym razem również pojawimy się na SEMAFOR jako jeden z mecenasów imprezy. Zapraszamy wszystkich do wzięcia udziały w naszym wykładzie, który poprowadzi CEO EMCA, Artur Bicki. Temat, z którym się zmierzymy w tym roku, to SIEM z Elasticsearch.

Wykład poświęcony będzie zagadnieniom budowy platformy SIEM w oparciu o komponenty projektów wokoło Elasticsearch. Na bazie systemu Energy Logserver zostaną zaprezentowane funkcjonalności analizy i obsługi zdarzeń security. Na żywym przykładzie przedstawimy możliwości analizy oraz korelacji zdarzeń pochodzących z logów i ruchu sieciowego oraz zarządzania wykrytymi incydentami.

Spotkajmy się 19 marca o godzinie 12:10.

 

SEMAFOR jest jedną z największych konferencji w Polsce poświęconych cyberbezpieczeństwie. Od lat jest to miejsce, w którym przedstawiane są najnowocześniejsze i najlepsze rozwiązania z dziedzin security IT.  Uczestnicy nie tylko mogą zdobyć niezwykle cenną wiedzę prosto od światowych ekspertów, ale również zawiązać partnerskie i biznesowe relacje.

Dwudniowe wydarzenie odbędzie się w Warszawie 19-20 marca. Start o 8 rano!

https://www.computerworld.pl/konferencja/semafor#program

6.1.8 Nowa wersja Energy Logserver!

6.1.8 Nowa wersja Energy Logserver

Najnowsza aktualizacja Energy Logserver wprowadza ulepszenia do istniejących mechanizmów, ale dodaje szereg nowych narzędzi.
W pełni kompatybilny z wersją 6.x elasticsearch, Energy Logserver wprowadza między innymi:
Logtrail - narzędzie do analizy i czytania logów usług prosto z plików systemu, które są aktualizowane na bieżąco. Przejrzysty interfejs wraz z kolorowaniem kodu i podświetlaniem przeszukiwania.
Cerebro - graficzny interfejs do pracy z api elasticsearch bez konieczności logowania się do konsoli systemowej, dostępny z poziomu przeglądarki.
Reputacje IP - mechanizm weryfikowania adresacji IP w bazach reputacji IP, wspomagający w analizie ruchu sieciowego. Bazy są automatycznie aktualizowane.
Zbiór poprawionych i nowych wizualizacji oraz dashboardów, dostępnych dla użytkownika.

Version 6.1.8
Added

Enhancements in Netflow support
Logtrail feature for covering all system components logs [kibana]
Cerebro Management tool support [kibana]
Automation for Bad IP reputation lists
Default Role integrated dynamically when working with AD accounts [elasticsearch-auth]
Explained additional logging class for elasticsearch in log4j
Detailed restore process of functional indexes [elasticsearch-auth]
AD/LDAP/SSO API - new endpoint /role-mapping/_reload [elasticsearch-auth]
License API - new endpoint /license/_reload [elasticsearch-auth]
Better radius integration with NAS-Identifier and NAS-IP-Address [elasticsearch-auth]
Skimmer components updated to 1.0.8
Backup script updated - utils/small_backup.sh
Java environment updated to branch v11
Network graph/corellation - new vizualization type [kibana]

CHANGED

bugfix: CSV Export not working due to wrong binary definition
bugfix: Error when trying to delete alert rule with an apostrophe in the name
bugfix: Reading of configuration variables in the Config tab [kibana]