Daniel Cid

Imie:
Daniel

Nazwisko:
Cid

Informacje o prelegencie:
Daniel B. Cid jest autorem i głównym programistą OSSES, pakietu HIDS / analizatora logów udostępnianego na zasadach Open Source. Daniel zajmuje się rozwojem oprogramowania i bezpieczeństwem sieci od wielu lat. Jego główną pasją jest analiza logów i wykrywanie włamań na monitorowanym hoście.
Obecnie pracuje dla Q1 Labs jako inżynier oprogramowania, w przeszłosci pracował dla Sourcefire, NIH, oraz innych firm jako konsultant ds. bezpieczeństwa. Z Danielem można się skontaktować pisząc na adres dcid @ ( at ) ossec.net.

Temat wystąpienia:
Analiza logów z wykorzystaniem ossec

Abstrakt:
OSSEC jest systemem HIDS (wykrywania włamań na monitorowanym hoście) udostępnianym na zasadach Open Source. Niewiele jednak osób wie o tym, że jest to również zaawansowany system scentralizowanej analizy i korelacji logów bezpieczeństwa.

Niniejsza prezentacja będzie technicznym opisem działania ossec, zasad jakimi posługuje się przy analizie i korelacji danych oraz sposobów rozbudowy funkcji podstawowych dla własnych potrzeb. W czasie prezentacji om?wione zostan? nast?puj?ce tematy:
1. Czym jest ossec
2 Jak działa ossec
2.1 Procesy wewnętrzne
2.2 Scentralizowana architektura
2.3 Komunikacja między serwerem i agentami
3 Bliższe spojrzenie na procesie dekodowania logów PROIDEA
3.1 Dekodowanie logów zapory ogniowej, systemu wykrywania włamań i uwierzytelniania
3.2 Tworzenie wpisów FTS (znanych teź jako NBS)
4 Reguy analizy logów pod lup?
4.1 Reguły przykładowe
4.2 Składnia reguł
4.3 Korelowanie logów
4.4 Generowanie ostrzeżeń
5 Dostosowywanie ossec
5.1 Aktywne odpowiedzi
5.2 Uwagi dot. wydajności
6 Monitorowanie bezpiecze?stwa logów
6.1 Interesujące wzorce
6.2 Redukowanie liczby fałszywych alarmów