Hoe verskil 'n goeie IT-sekuriteitsbeampte van 'n gewone een? Nee, nie deur die feit dat hy op enige gegewe tydstip die aantal boodskappe wat die bestuurder Igor gister aan sy kollega Maria gestuur het, uit die geheue sal bel nie. ’n Goeie sekuriteitsbeampte probeer om moontlike oortredings vooraf te identifiseer en dit intyds vas te stel, en wend elke poging aan sodat daar geen voortsetting van die voorval is nie. Sekuriteitsgebeurtenisbestuurstelsels (SIEM, van Sekuriteitsinligting en gebeurtenisbestuur) vereenvoudig die taak om enige oortredingspogings vinnig reg te stel en te blokkeer.
Tradisioneel kombineer SIEM-stelsels 'n inligtingsekuriteitbestuurstelsel en 'n sekuriteitsgebeurtenisbestuurstelsel. 'n Belangrike kenmerk van die stelsels is die ontleding van sekuriteitsgebeurtenisse in reële tyd, wat jou toelaat om daarop te reageer voor die aanvang van bestaande skade.
Die hooftake van SIEM-stelsels:
- Data-insameling en normalisering
- Data korrelasie
- Waarskuwing
- Visualisering panele
- Organisasie van databerging
- Data soek en ontleding
- Verslagdoening
Redes vir die groot aanvraag na SIEM-stelsels
Onlangs het die kompleksiteit en koördinering van aanvalle op inligtingstelsels baie toegeneem. Terselfdertyd word die kompleks van inligtingbeskermingsinstrumente wat gebruik word ook meer kompleks – netwerk- en gasheer-inbraakopsporingstelsels, DLP-stelsels, antivirusstelsels en brandmure, kwesbaarheidskandeerders, ensovoorts. Elke beskermingsinstrument genereer 'n stroom gebeurtenisse met verskillende besonderhede, en dikwels kan jy net 'n aanval sien deur gebeure van verskillende stelsels op mekaar te plaas.
Daar is baie dinge oor alle soorte kommersiële SIEM-stelsels , maar ons bied 'n kort oorsig van gratis volwaardige oopbron SIEM-stelsels wat nie kunsmatige beperkings het op die aantal gebruikers of die hoeveelheid gestoorde data wat ontvang word nie, en ook maklik skaalbaar en ondersteun word. Ons hoop dit sal help om die potensiaal van sulke stelsels te assesseer en te besluit of sulke oplossings in die maatskappy se besigheidsprosesse geïntegreer moet word.
AlienVault OSSIM
AlienVault OSSIM is die oopbron-weergawe van AlienVault USM, een van die voorste kommersiële SIEM-stelsels. OSSIM is 'n raamwerk wat bestaan uit verskeie oopbronprojekte, insluitend die Snort-netwerk-inbraakdetectiestelsel, die Nagios-netwerk- en gasheermoniteringstelsel, die OSSEC-gasheer-inbraakdetectiestelsel en die OpenVAS kwesbaarheidskandeerder.
Toestelmonitering gebruik AlienVault Agent, wat logs vanaf die gasheer in syslog-formaat na die GELF-platform stuur, of 'n inprop kan gebruik word om met derdeparty-dienste te integreer, soos Cloudflare se webwerf-omgekeerde proxy-diens of Okta se multi-faktor-verifikasiestelsel .
Die USM-weergawe verskil van OSSIM in verbeterde logbestuur, wolkinfrastruktuurmonitering, outomatisering en bygewerkte bedreigingsinligting en visualisering.
Voordele
- Gebou op bewese oopbronprojekte;
- Groot gemeenskap van gebruikers en ontwikkelaars.
Beperkings
- Ondersteun nie wolkplatformmonitering nie (soos AWS of Azure);
- Daar is geen logboekbestuur, visualisering, outomatisering en integrasie met derdepartydienste nie.
MozDef (Mozilla Defence Platform)
Mozilla se MozDef SIEM-stelsel word gebruik om sekuriteitsinsidente-hanteringsprosesse te outomatiseer. Die stelsel is van die grond af ontwerp vir maksimum werkverrigting, skaalbaarheid en fouttoleransie, met 'n mikrodiensargitektuur - elke diens loop in 'n Docker-houer.
Soos OSSIM, is MozDef gebou op beproefde oopbronprojekte, insluitend die Elasticsearch-log-indeksering en soekmodule, die Meteor-raamwerk vir die bou van 'n buigsame webkoppelvlak, en die Kibana-inprop vir visualisering en plot.
Gebeurteniskorrelasie en -waarskuwing word gedoen met behulp van 'n Elasticsearch-navraag, wat jou toelaat om jou eie gebeurtenishanterings- en waarskuwingsreëls met Python te skryf. Volgens Mozilla kan MozDef meer as 300 miljoen gebeurtenisse per dag hanteer. MozDef aanvaar slegs geleenthede in JSON-formaat, maar daar is integrasie met derdeparty-dienste.
Voordele
- Gebruik nie agente nie - werk met standaard JSON-logs;
- Maklik skaalbaar danksy mikrodiensargitektuur;
- Ondersteun wolkdiensdatabronne, insluitend AWS CloudTrail en GuardDuty.
Beperkings
- 'n Nuwe en minder gevestigde stelsel.
Wazuh
Wazuh het begin as 'n vurk van OSSEC, een van die gewildste open source SIEM's. En nou is dit sy eie unieke oplossing met nuwe funksionaliteit, foutoplossings en 'n geoptimaliseerde argitektuur.
Die stelsel is gebou op ElasticStack (Elasticsearch, Logstash, Kibana) en ondersteun beide agent-gebaseerde data-insameling en stelsellog-inname. Dit maak dit effektief vir die monitering van toestelle wat logs genereer, maar nie agentinstallasie ondersteun nie - netwerktoestelle, drukkers en randapparatuur.
Wazuh ondersteun bestaande OSSEC-agente en gee selfs leiding oor die migreer van OSSEC na Wazuh. Alhoewel OSSEC steeds aktief onderhou word, word Wazuh gesien as 'n voortsetting van OSSEC as gevolg van die byvoeging van 'n nuwe webkoppelvlak, REST API, 'n meer volledige stel reëls en baie ander verbeterings.
Voordele
- Gebaseer op en versoenbaar met die gewilde SIEM OSSEC;
- Ondersteun verskeie installasie-opsies: Docker, Puppet, Chef, Ansible;
- Ondersteun monitering van wolkdienste, insluitend AWS en Azure;
- Sluit 'n omvattende stel reëls in om baie soorte aanvalle op te spoor en laat hulle toe om vergelyk te word in ooreenstemming met PCI DSS v3.1 en CIS.
- Integreer met die Splunk log stoor en analise stelsel, gebeurtenis visualisering en API ondersteuning.
Beperkings
- Komplekse argitektuur - Vereis 'n volledige Elastic Stack-ontplooiing bykomend tot Wazuh-bedienerkomponente.
Voorspel OSS
Prelude OSS is 'n oopbron-weergawe van die kommersiële Prelude SIEM wat deur die Franse maatskappy CS ontwikkel is. Die oplossing is 'n buigsame modulêre SIEM-stelsel wat baie logformate ondersteun, integrasie met derdeparty-instrumente soos OSSEC, Snort en die Suricata-netwerkopsporingstelsel.
Elke gebeurtenis word genormaliseer in 'n IDMEF-boodskap, wat data-uitruiling met ander stelsels vereenvoudig. Maar daar is ook 'n vlieg in die salf - Prelude OSS is baie beperk in werkverrigting en funksionaliteit in vergelyking met die kommersiële weergawe van Prelude SIEM, en is meer bedoel vir klein projekte of om SIEM-oplossings te bestudeer en Prelude SIEM te evalueer.
Voordele
- Tyd-getoets stelsel ontwikkel sedert 1998;
- Ondersteun baie verskillende log-formate;
- Normaliseer data na die IMDEF-formaat, wat dit maklik maak om data na ander sekuriteitstelsels oor te dra.
Beperkings
- Aansienlik beperk in funksionaliteit en werkverrigting in vergelyking met ander oopbron SIEM-stelsels.
Sagan
Sagan is 'n hoë werkverrigting SIEM wat versoenbaarheid met Snort beklemtoon. Benewens die ondersteuning van reëls wat vir Snort geskryf is, kan Sagan na die Snort-databasis skryf en kan selfs met die Shuil-koppelvlak gebruik word. Basies is dit 'n liggewig, multi-draad oplossing wat nuwe funksies bied terwyl dit vriendelik bly vir Snort-gebruikers.
Voordele
- Ten volle versoenbaar met die Snort-databasis, reëls en gebruikerskoppelvlak;
- Multi-draad argitektuur bied hoë werkverrigting.
Beperkings
- Relatief jong projek met 'n klein gemeenskap;
- 'n Komplekse installasieproses, insluitend die bou van die hele SIEM vanaf die bron.
Gevolgtrekking
Elkeen van die beskryfde SIEM-stelsels het sy eie kenmerke en beperkings, so dit kan nie 'n universele oplossing vir enige organisasie genoem word nie. Hierdie oplossings is egter oopbron, waardeur hulle ontplooi, getoets en geëvalueer kan word sonder om buitensporige koste aan te gaan.
Wat kan jy nog op die blog lees?
→
→
→
→
→
Teken in op ons -kanaal, om nie die volgende artikel te mis nie! Ons skryf nie meer as twee keer per week nie en slegs vir besigheid.
Bron: will.com