简易日志记录系统
最初由NCSC创建,现由CISA维护的简易日志记录系统是一个自助安装教程,旨在帮助小型组织建立基本的集中式安全日志记录系统,用于Windows客户端,并提供检测攻击的功能。它是多个免费和开源软件平台的结合体,LME帮助读者将它们整合在一起,形成端到端的日志记录能力。我们还提供了一些预先制作的配置文件和脚本,尽管您也有选择自己进行配置。
简易日志记录系统可以:
- 显示在已注册设备上运行管理命令的位置
- 查看谁在使用哪台机器
- 与威胁报告一起,可以查询攻击者的存在形式,如战术、技术和程序(TTPs)
免责声明
LME 目前仍处于早期开发阶段。
如果您已安装了 LME Alpha 版本(v0.5 或更早版本),升级到最新版本将需要一些手动干预,请参阅升级以获取更多信息。
这不是专业工具,不应作为 SIEM 使用。
LME 是一种自制的方式来收集日志并查询攻击。
我们已经努力使事情变得简单。我们会告诉您要下载什么,使用哪些配置,并创建方便的脚本以在可能的情况下进行自动配置。
当前架构基于 Windows 客户端、Microsoft Sysmon、Windows 事件转发和 ELK 堆栈。
我们无法评论或解决个别安装问题。如果您认为在LME代码或文档中发现了问题,请提交GitHub问题。如果您对安装有疑问,请访问GitHub讨论,看看您的问题是否已解决。
简易日志记录系统适用于谁?
从网络中有少量设备的单个 IT 管理员到规模较大的组织。
如果以下条件之一或全部符合,那么 LME 适合您:
- 您目前没有 SOC、SIEM 或任何监控系统。
- 您缺乏设置自己的日志记录系统所需的预算、时间或理解。
- 您意识到有必要开始收集日志并监控您的IT。
- 您理解 LME 存在一些限制,但比没有专业工具要好。
如果符合上述任何一个或全部条件,那么 LME 对您来说是迈向正确方向的一步。
LME 还可能对企业监控无法覆盖的小型孤立网络有用。
概览
LME 的架构由三组计算机组成,如下图所示:
图1:LME 架构中的三个主要计算机组,它们的描述以及每个计算机运行的操作系统/软件。
若有收获,就点个赞吧
0 人点赞
