PHP en SIEM

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Ad Fundum

Ad Fundum

07/09/2020 14:52:50
Quote Anchor link
Voor mijn PHP-programma ben ik zo langzamerhand toe aan loggen naar een SIEM-oplossing, in plaats van events wegschrijven naar normale logbestanden. Omdat ik nog geen SIEM heb, kan ik nog kiezen voor een open source SIEM-oplossing die op Linux moet kunnen draaien. Ik denk daarbij aanoplossingen als OSSIM, OSSEC of ELK.

Mijn idee is dat ik volgens de bijbehorende documentatie calls kan doen naar een of andere API van het SIEM-systeem dat op een andere server draait, en dat ik daarbij minimale overhead in PHP heb, dus met zo min mogelijk libraries van derden.

Maar voordat ik meteen in het diepe duik wil ik graag weten of er meer mensen zijn die hier ervaring mee hebben, en wat de verschillen zijn waar je op zou moeten letten.
 
PHP hulp

PHP hulp

01/08/2021 09:13:35
 
Ozzie PHP

Ozzie PHP

08/09/2020 01:20:41
Quote Anchor link
Misschien zou het leuk (en netjes) zijn, dat je alvorens je een nieuwe vraag stelt eerst even laat weten of het antwoord op je vorige vraag van nut is geweest. Of vraag ik nu misschien wel heel erg veel?
 
Ad Fundum

Ad Fundum

08/09/2020 08:43:24
Quote Anchor link
Ik was me er niet van bewust dat ik op PHPHulp.nl slechts één vraag tegelijk mag stellen.
Maar ik zal meteen op de andere vraag inhaken.
 
- Ariën -
Beheerder

- Ariën -

08/09/2020 09:43:08
Quote Anchor link
Het is geen regel overigens, maar het zou wel netjes zijn om netjes een terugkoppeling te geven op een gestelde vraag.
 
Ad Fundum

Ad Fundum

08/09/2020 10:41:05
Quote Anchor link
Ik zal in het vervolg beter letten op de chronologie van mijn vragen en antwoorden.
 
Ward van der Put
Moderator

Ward van der Put

08/09/2020 11:10:03
Quote Anchor link
On topic ...

Ad Fundum op 07/09/2020 14:52:50:
Mijn idee is dat ik volgens de bijbehorende documentatie calls kan doen naar een of andere API van het SIEM-systeem dat op een andere server draait, en dat ik daarbij minimale overhead in PHP heb, dus met zo min mogelijk libraries van derden.


De grootste PHP-overhead ontstaat doordat je (a) je PHP-code moet inrichten op loggen en vervolgens (b) op verschillende momenten actief extra code uitvoert voor het loggen van gebeurtenissen.

Als je het loggen wilt centraliseren, zodat je niet meer met aparte logbestanden in de weer moet, dan zou ik eerst eens kijken hoe ver je komt met het opzetten van een system logger en syslog.
 
Ad Fundum

Ad Fundum

08/09/2020 11:22:22
Quote Anchor link
Dank voor de reactie, ik had syslog nog niet in overweging genomen.
Ik ben niet heel bekend met syslog, is het ook zo te configureren dat het naar een andere server wegschrijft dan het eigen systeem?

De achterliggende reden is dat ik ook toegang binnen de applicatie wil kunnen auditen, conform NEN-7513. (Het is een lange documentenreeks, ben nog niet helemaal klaar met lezen..)

Volgens mij moeten toegangsacties dan zodanig gelogd met alleen schrijfrechten voor het programma, zodat weer een andere partij alleen de logs kan lezen.
De scheiding van die rollen is van belang opdat logbestanden gebruikt kunnen worden bij strafrechtelijk onderzoek.

Mijn programma werkt al samen met een firewall, daarom is mijn oog op SIEM gevallen. Maar ik heb ook al gezien dat SIEM-oplossingen ook syslog als input kunnen verwerken, dus misschien is daar iets mee te doen?
Gewijzigd op 08/09/2020 11:23:36 door Ad Fundum
 
Ozzie PHP

Ozzie PHP

08/09/2020 12:16:30
Quote Anchor link
Ad Fundum op 08/09/2020 08:43:24:
Ik was me er niet van bewust dat ik op PHPHulp.nl slechts één vraag tegelijk mag stellen.
Maar ik zal meteen op de andere vraag inhaken.

Uiteraard mag je meerdere vragen tegelijk stellen, alleen is het wel leuk dat je dan ook even reageert als iemand een antwoord geeft ;-) Dan krijg ik tenminste niet het gevoel dat ik voor Jan met de korte achternaam moeite aan het doen ben om iemand te helpen :)


Toevoeging op 08/09/2020 12:17:15:

PS ... en nu weer on topic.
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.