Incident Management System

Security-all

Sziasztok,

Érdekelne, valami incidens kezelő rendszer.
Mit tudtok ajánlani, melynek mi az előnye és hátránya, és miért pont azt választottátok?

Még nem nagyon használtam és nem is láttam ilyet, de ki kellene építenem és megterveznem egy ilyen rendszert.

Amit feltétlenül tudnia kéne:
-szerepkör alapú felhasználókezelés & AD integráció
-incidensek csoporthoz rendelése
-logolhatóság
-riportolás

Kizárólag az incidensek dokumentálására és nyomonkövetésére kellene a szoftver.

  • 1889 megtekintés

( turdus | 2010. 11. 30., k – 14:18 )

Minek megírni, mikor már megírták...? De ha tényleg érdekel a téma, akkor a következőket mindenképp nézd meg:
-jira. Ez fizetős, cserébe baromi sokat tud
-rtracker. egy ingyenes, kb mindent tud, cserébe könnyen törhető (sql injection stb.)

Ez szerintem a két véglet, a kettő között kismilliót találsz.

Egyébként meg:
"szerepkör alapú felhasználókezelés & AD integráció"
AD integráció gyerekjáték LDAP-al. Szerepköröket tárolhatod AD-ben.
"incidensek csoporthoz rendelése"
Egy gyerekjáték. Több csoporthoz rendelés már mókásabb, de az sem vészes.
"logolhatóság"
ha te írod, szintén gyerekjáték
"riportolás"
Hát ez necces. Jira jókat tud riportolni (de mint írtam, fizetős). Ha nem akarsz sokat szívni, akkor javaslok valamilyen html2pdf libraryt, és a megszokott templatered használhatod.

( tata2k_ng | 2010. 11. 30., k – 14:51 )

Halló!

Nem tudom pontosan milyen területen meg milyen szintű incidens-management-re gondolsz, ha IT support-hoz (helpdesk meg ilyenek) akarsz valamit használni akkor én az OTRS-t tudom ajánlani az OTRS::ITSM modullal saját tapasztalatok alapján. Nemrég adták ki a 3.0-t az már szép is. :-) Ez egy elég öreg, kiforrott cucc, annak idején egy ITIL-folyamatokat támogatni képes open-source keret fejlesztése volt a cél, mostanra van már lett neki Pink Elephant certifikáziócása ITILv3-ból pár folyamathoz is. Ha ismerős vagy efféle folyamatszervezés meg a foglamak körül akkor mindenképpen tökjó, kicsit még vezeti is az ember kezét ha ilyesmit kell építeni. Azt viszont meg kell jegyezni, hogy 0-ról kezdve ez nem egy egyszerűen kezelhető valami - technikailag nincs vele sok gond, jó a doksi és sokminden eleve megvan konzervben (pl. AD-integráció kikommentezve, példákkal a konfigban), de az életciklust részben neked kell majd beállítgatni a ticketekre, az tud szivatós lenni. www.otrs.org -on van valahol demo-rendszer amit lehet kattingatni, ott meg tudod nézni élőben is.

Amit turdus említett az előző kommentben azok sztem inkább projektmanagement meg fejlesztés jellegű feladatokhoz jók (nem elhanyagolandó itt még a jó öreg Bugzilla sem), emez inkább üzemeltetéshez - válaszd amelyik jobban illik a feladathoz.

--
Ta

( kavics | 2010. 11. 30., k – 15:15 )

hát határvédelmi és egyéb megfigyelő rendszer üzemeltetése mellé kellene egy olyan rendszer ahol az incidenseket be lehet jelenteni nyomon lehet követni, azt a megfelelő csoportnak továbbítani akik a hibát/problémát orvosolják, és ezekről az eseményekről bizonyos szervezeti egységek is értesülhetnek.

pl:
1,történik egy port scannelés/DoS, arról egy adott rendszer riasztást készít
2,az esemény felvételre kerül az incidens kezelő rendszerbe
3,adott terület kivizsgálja mi is volt ez
4,jelentést készít,értékel,továbbküld javításra
5,lezár

globálisan értesülniük kellene bizonyos csoportoknak is.

Ami még jó leheten, egy autómatikus import lehetőség(xml,csv,db).
pl: Cisco Mars > xml > Incidens kezelő

Fizetős rendszer nem probléma :)

Erre sztem bármi jó. :-) Ha jól értem hogy mit szeretnél akkor az kell, hogy egy IDS/IPS risztása (pl. SNMP trap, e-mail vagy logbejegyzés) alapján létrejön egy valamilyen artifact ami az eseményt reprezentálja, és ennek ezután van egy életciklusa ami alatt átkerül valahogy "új"-ból "lezárt" státuszba (pl. új - nyugtázva - kivizsgálva - lezárva) és ez alatt lehet követni hogy mi van vele meg vissza lehet keresni és lehet riportot csinálni adott szempontok alapján.

Most ezt input oldalról mindegy hogyan kezeled, Bugzillának meg OTRS-nek biztosan, de sztem másnak is van beviteli oldali API-ja vagy e-mail interface-e amin keresztül az incidenst létre tudod hozni. Onnan meg már mindegy mivel csinálod igazából, mert amit leírtál az annyira egyszerű munkamenet hogy azt bármi meg tudja csinálni.

Én élőben olyat hegesztettem múltkor, hogy egy appszerver logján ült egy SEC (Simple Event Correlator) ami figyelte a logot, és bizonyos bejegyzések esetén egy webinterfészen keresztül visszahívott az alkalmazásba, mert így egyszerűbb volt figyelni hogy megjön-e időben valami mint az alkalmazásból.

Most, mielőtt múlt héten lenyúlták a tesztelős vasamat egy halott router helyére, pont olyasmin dolgoztam mint amit írsz: IDS írja a logját syslogon logszerverre, ott fut egy SEC ami adott formájú riasztásra küld egy megfelelően formázott e-mailt a risztás adataival, amit egy OTRS input-script feldolgoz és létrehoz egy ticketet. Ilyen input-scriptek amik egy mailboxból megeszik a leveleket és betolják a tartalom alapján a rendszerbe egyébként nagyon sok mindenhez vannak, és a legtöbbnek lehet olyan szabályt megadni ami alapján adott queue-ba tudja tenni a ticketet ami keletkezik (megfelelő csoporthoz). Ha esetleg kell konkrét segítség vagy példa valamihez akkor írj, oszt ha van egy szusszanásnyi időm akkor összedobok valamit. Amúgyis kéne egy doksit írnom egy ilyen megoldásról, az lemaradt legutóbb. :-)

--
Ta