LogOS SIEM è una soluzione Seacom in ambito Security, che permette di raccogliere e visualizzare le informazioni utili al fine di comprendere lo stato di salute dei sistemi informativi. Partendo dai log prelevati dalle macchine ed utilizzando tecnologie dedicate, è possibile capire se i sistemi possono considerarsi sicuri, oppure se sono affetti da qualche vulnerabilità.
La soluzione si basa su Wazuh, che tramite gli agent reperisce dagli host target le informazioni di sicurezza utili per alimentare il Wazuh server. I dati presenti nelle opportune cartelle degli host di Wazuh, contenenti i log con le informazioni arricchite da Wazuh stesso, sono prelevati da Filebeat ed inseriti su opportuni topic Kafka. A questo punto, un Logstash è in ascolto sui topic Kafka e si occupa di indicizzare i log su Opensearch.
Per una maggiore sicurezza, affidabilità e resilienza degli applicativi, questa soluzione solitamente viene installata in cluster ed on-premise, per cui è possibile che un singolo ambiente LogOS possa avere decine di macchine dedicate. In questi contesti, installare, manutenere ed aggiornare gli applicativi può risultare molto oneroso.
Dr. WOLF
Dr. WOLF (Wazuh Opensearch Logstash Filebeat) permette di risolvere i nostri problemi utilizzando GitLab ed Ansible.
GitLab è un repository open source che permette di collaborare allo sviluppo di software ed abilita alle funzionalità DevSecOps. Nel nostro caso abbiamo utilizzato GitLab sia per mantenere il codice utile al funzionamento della soluzione, sia per orchestrare la pipeline CI/CD con la quale effettuare l’installazione delle componenti.
Ansible è un tool open source che permette di automatizzare l’installazione, configurazione, gestione e orchestrazione dei processi. Dato che è uno standard de facto, vista la compatibilità con GitLab e data l’esistenza di ruoli ufficiali già presenti, abbiamo deciso di utilizzare questa tecnologia.
Le fasi salienti del flusso visibili nella immagine sopra sono:
- Clone: fase in cui vengono clonate le repository delle componenti che vogliamo installare;
- Generate: fase in cui viene generato l’inventario padre a partire dalle variabili CI/CD;
- Check: fase in cui vengono effettuati alcuni controlli base a seconda della componente;
- Deploy: fase in cui l’utente sceglie quale componente installare.
Conclusione
Dr. WOLF è una soluzione che permette di installare e aggiornare diversi applicativi che si integrano tra loro, in particolare per la soluzione LogOS, utilizzando GitLab e Ansible. La svolta di questa soluzione è che possiamo gestire l’installazione e l’aggiornamento anche delle singole componenti qualora si rendesse necessario. Oltre a questo, è possibile integrare tra loro non solo le componenti che formano LogOS, ma anche altre tecnologie. Infatti, è in fase di sviluppo anche l’integrazione tra MinIO e Dremio per la nostra proposizione Data Lakehouse, seguendo gli stessi procedimenti descritti nel corso dell’articolo.
Lorenzo Pasco – Data Engineer @Seacom
Seacom – Società Benefit appartenente al gruppo ITWay e co – fondatore di RIOS (Rete Italiana Open Source), è un’azienda specializzata in consulenza e formazione su prodotti open source per aziende di livello Enterprise, enti e pubbliche amministrazioni.
Scopri di più su Seacom su: https://seacom.it
