De quoi s’agit-il ?

Monitoring by DnC est un système de surveillance fondé sur Ossec, pour assurer :
- le suivi de fonctionnement des système et des applications,
- le contrôle de configuration,
- la détection d’intrusion au niveau des hôtes (HIDS),

Monitoring by DnC offre également un interface vers PRTG afin d’étendre les fonctionnalités de ce système de surveillance au suivi des anomalies fonctionnelles et des tentatives d’intrusions.

Ce qu’offre ce site ...

Ce site offre :

- un serveur OSSEC,
- un module de surveillance qui permet de recevoir des alertes par e-mail,
- un UI évolué pour obtenir le détail technique sur les alertes.

La vue "Alertes compactes"

En complément, un interface avec PRTG permet d’utiliser ce système pour compléter le monitoring de réseau.

Nous avons également l’ambition d’élaborer une documentation sur la configuration avancée des journaux d’événements et des agents Ossec.

... et ce qu’il n’offre pas

Vous devrez disposer par vous même de :
- un agent OSSEC sur chaque machine à surveiller,
- l’application PRTG (facultatif).

Si vous n’avez pas PRTG

Ce serveur est malgré tout capable de vous adresser des alertes par e-mail. C’est l’essentiel, non ?

Et maintenant :

- Connectez-vous à ce serveur,
- Inscrivez un agent OSSEC,
- Gérez vos agents,
- Configurez PRTG (facultatif),
- Suivez les alertes : Alertes compactes.

Et ensuite ?

Ce serveur est un démonstrateur. Il présente la version de développement de Monitoring by DnC. Au stade actuel, nous nous sommes attachés à développer l’UI pour :
- "compacter" les alertes, c’est à dire les regrouper les alertes de même nature pour un même agent en suites, afin de donner un premier niveau de facilitation de la lecture des logs.
- offrir des facilités pour la recherche empirique des liens entre alertes : alertes avant le début d’une série, toutes les alertes de l’environnement à l’instant et avant etc.

Dans l’immédiat, nous travaillons sur la visualisation et l’édition des règles et la faculté d’ajouter de nouvelles règles. Ensuite nous travaillerons à différencier l’application des règles selon l’agent.

Les recherches et développements en cours portent sur :
- la description des liens de routage (cheminements) entre les composants (routeurs, pare-feu, machines ...) ;
- l’identification automatique de suites causales, prenant en compte le cheminement ;
- la recherche de l’événement origine et du composant d’entrée ;
- l’élimination de fausses alertes, résultant de séries normales (par exemple la modification des fichiers système après une mise à jour) ;

Nous travaillons également à lier le serveur d’authentification OAuth Server by DnC et notamment son extension Identity by DnC pour former un système évolué d’authentification des utilisateurs et de contrôle d’accès, incluant la surveillance et l’alerte.