Yaxşı İT təhlükəsizlik işçisi adi birindən nə ilə fərqlənir? Xeyr, onunla deyil ki, istənilən vaxt o, menecer İqorun dünən həmkarı Mariyaya göndərdiyi mesajların sayını yaddaşdan çağıracaq. Yaxşı bir təhlükəsizlik işçisi mümkün pozuntuları əvvəlcədən müəyyən etməyə və real vaxtda tutmağa çalışır, hadisənin davam etməməsi üçün hər cür səy göstərir. Təhlükəsizlik hadisələrinin idarə edilməsi sistemləri (SIEM, Təhlükəsizlik məlumatı və hadisələrin idarə edilməsindən) hər hansı pozuntu cəhdlərini tez bir zamanda aradan qaldırmaq və bloklamaq tapşırığını xeyli asanlaşdırır.
Ənənəvi olaraq, SIEM sistemləri informasiya təhlükəsizliyi idarəetmə sistemini və təhlükəsizlik hadisələrinin idarə edilməsi sistemini birləşdirir. Sistemlərin mühüm xüsusiyyəti təhlükəsizlik hadisələrinin real vaxt rejimində təhlilidir ki, bu da mövcud zərər başlamazdan əvvəl onlara cavab verməyə imkan verir.
SIEM sistemlərinin əsas vəzifələri:
- Məlumatların toplanması və normallaşdırılması
- Məlumat korrelyasiyası
- Xəbərdarlıq
- Vizual panellər
- Məlumatların saxlanmasının təşkili
- Məlumat axtarışı və təhlili
- Hesabat
SIEM sistemlərinə yüksək tələbatın səbəbləri
Son zamanlar informasiya sistemlərinə hücumların mürəkkəbliyi və koordinasiyası xeyli artmışdır. Eyni zamanda, istifadə olunan məlumatların mühafizəsi vasitələrinin kompleksi də daha mürəkkəbləşir - şəbəkə və host müdaxilələrinin aşkarlanması sistemləri, DLP sistemləri, antivirus sistemləri və təhlükəsizlik divarları, zəiflik skanerləri və s. Hər bir qoruma aləti müxtəlif detalları olan hadisələr axını yaradır və çox vaxt siz yalnız müxtəlif sistemlərdən hadisələrin üst-üstə düşməsi ilə hücumu görə bilərsiniz.
Hər növ kommersiya SIEM sistemləri haqqında çox şey var , lakin biz istifadəçilərin sayına və ya alınan saxlanılan məlumatların miqdarına süni məhdudiyyətlər qoymayan, həmçinin asanlıqla miqyaslana bilən və dəstəklənən pulsuz tam hüquqlu açıq mənbəli SIEM sistemlərinin qısa icmalını təqdim edirik. Ümid edirik ki, bu, belə sistemlərin potensialını qiymətləndirməyə və bu cür həllərin şirkətin biznes proseslərinə inteqrasiya edilib-edilməməsinə qərar verməyə kömək edəcək.
AlienVault OSSIM
AlienVault OSSIM aparıcı kommersiya SIEM sistemlərindən biri olan AlienVault USM-in açıq mənbə versiyasıdır. OSSIM, Snort şəbəkəsinə müdaxilənin aşkarlanması sistemi, Nagios şəbəkəsi və host monitorinq sistemi, OSSEC host müdaxiləsinin aşkarlanması sistemi və OpenVAS zəiflik skaneri daxil olmaqla bir neçə açıq mənbə layihəsindən ibarət çərçivədir.
Cihaz monitorinqi hostdan syslog formatında GELF platformasına qeydlər göndərən AlienVault Agentindən istifadə edir və ya Cloudflare vebsaytının əks proxy xidməti və ya Okta-nın çoxfaktorlu autentifikasiya sistemi kimi üçüncü tərəf xidmətləri ilə inteqrasiya etmək üçün plug-in istifadə edilə bilər. .
USM versiyası OSSIM-dən təkmilləşdirilmiş jurnal idarəetməsi, bulud infrastrukturunun monitorinqi, avtomatlaşdırılması və müasir təhlükə məlumatı və vizuallaşdırılması ilə fərqlənir.
Üstünlükləri
- Kanıtlanmış açıq mənbəli layihələr üzərində qurulmuşdur;
- İstifadəçilərin və tərtibatçıların böyük icması.
Məhdudiyyətlər
- Bulud platformasının monitorinqini dəstəkləmir (məsələn, AWS və ya Azure);
- Giriş idarəsi, vizuallaşdırma, avtomatlaşdırma və üçüncü tərəf xidmətləri ilə inteqrasiya yoxdur.
MozDef (Mozilla Müdafiə Platforması)
Mozilla-nın MozDef SIEM sistemi təhlükəsizlik insidentlərinin idarə edilməsi proseslərinin avtomatlaşdırılması üçün istifadə olunur. Sistem mikroservis arxitekturası ilə maksimum performans, genişlənmə və nasazlıqlara qarşı dözümlülük üçün sıfırdan hazırlanıb - hər bir xidmət Docker konteynerində işləyir.
OSSIM kimi, MozDef də Elasticsearch jurnalının indeksləşdirilməsi və axtarış modulu, çevik veb-interfeysin qurulması üçün Meteor çərçivəsi və vizuallaşdırma və tərtibat üçün Kibana plaginini daxil olmaqla, zamanla sınaqdan keçirilmiş açıq mənbə layihələri üzərində qurulub.
Hadisənin korrelyasiyası və xəbərdarlığı Elasticsearch sorğusundan istifadə etməklə həyata keçirilir ki, bu da sizə Python-dan istifadə edərək öz hadisələrin idarə edilməsi və xəbərdarlıq qaydalarını yazmağa imkan verir. Mozilla-ya görə, MozDef gündə 300 milyondan çox hadisəni idarə edə bilər. MozDef yalnız JSON formatında hadisələri qəbul edir, lakin üçüncü tərəf xidmətləri ilə inteqrasiya mövcuddur.
Üstünlükləri
- Agentlərdən istifadə etmir - standart JSON qeydləri ilə işləyir;
- Mikroservis arxitekturası sayəsində asanlıqla genişləndirilə bilər;
- AWS CloudTrail və GuardDuty daxil olmaqla bulud xidməti məlumat mənbələrini dəstəkləyir.
Məhdudiyyətlər
- Yeni və daha az qurulmuş sistem.
Wazuh
Wazuh, ən məşhur açıq mənbəli SIEM-lərdən biri olan OSSEC-in bir çəngəl kimi başladı. İndi bu, yeni funksionallıq, səhv düzəlişləri və optimallaşdırılmış arxitektura ilə özünəməxsus həllidir.
Sistem ElasticStack (Elasticsearch, Logstash, Kibana) üzərində qurulub və həm agent əsaslı məlumatların toplanması, həm də sistem jurnalının qəbulunu dəstəkləyir. Bu, onu loglar yaradan, lakin agent quraşdırılmasını dəstəkləməyən monitorinq cihazları - şəbəkə cihazları, printerlər və periferiyalar üçün effektiv edir.
Wazuh mövcud OSSEC agentlərini dəstəkləyir və hətta OSSEC-dən Wazuh-a miqrasiya ilə bağlı təlimatlar təqdim edir. OSSEC hələ də fəal şəkildə qorunsa da, yeni veb-interfeys, REST API, daha tam qaydalar dəsti və bir çox digər təkmilləşdirmələrin əlavə edilməsi sayəsində Wazuh OSSEC-in davamı kimi görünür.
Üstünlükləri
- Məşhur SIEM OSSEC-ə əsaslanan və ona uyğundur;
- Müxtəlif quraşdırma seçimlərini dəstəkləyir: Docker, Puppet, Chef, Ansible;
- AWS və Azure daxil olmaqla bulud xidmətlərinin monitorinqini dəstəkləyir;
- Hücumların bir çox növlərini aşkar etmək üçün hərtərəfli qaydalar toplusunu ehtiva edir və onları PCI DSS v3.1 və MDB-yə uyğun olaraq müqayisə etməyə imkan verir.
- Splunk jurnalının saxlanması və təhlili sistemi, hadisələrin vizuallaşdırılması və API dəstəyi ilə inteqrasiya olunur.
Məhdudiyyətlər
- Kompleks arxitektura - Wazuh server komponentlərinə əlavə olaraq tam Elastik Yığın yerləşdirilməsi tələb olunur.
Prelüd OSS
Prelude OSS, Fransız şirkəti CS tərəfindən hazırlanmış kommersiya Prelude SIEM-in açıq mənbəli versiyasıdır. Həll bir çox log formatlarını, OSSEC, Snort və Suricata şəbəkə aşkarlama sistemi kimi üçüncü tərəf alətləri ilə inteqrasiyanı dəstəkləyən çevik modul SIEM sistemidir.
Hər bir hadisə digər sistemlərlə məlumat mübadiləsini asanlaşdıran IDMEF mesajında normallaşdırılır. Lakin məlhəmdə bir milçək də var - Prelude OSS Prelude SIEM-in kommersiya versiyası ilə müqayisədə performans və funksionallıq baxımından çox məhduddur və daha çox kiçik layihələr üçün və ya SIEM həllərini öyrənmək və Prelude SIEM-i qiymətləndirmək üçün nəzərdə tutulub.
Üstünlükləri
- 1998-ci ildən işlənib hazırlanmış zamanla sınaqdan keçirilmiş sistem;
- Çox müxtəlif log formatlarını dəstəkləyir;
- Məlumatı IMDEF formatına normallaşdırır, bu da məlumatların digər təhlükəsizlik sistemlərinə ötürülməsini asanlaşdırır.
Məhdudiyyətlər
- Digər açıq mənbəli SIEM sistemləri ilə müqayisədə funksionallıq və performans baxımından əhəmiyyətli dərəcədə məhduddur.
Sagan
Sagan, Snort ilə uyğunluğu vurğulayan yüksək performanslı SIEM-dir. Snort üçün yazılmış dəstəkləyici qaydalara əlavə olaraq, Sagan Snort verilənlər bazasına yaza bilər və hətta Shuil interfeysi ilə istifadə edilə bilər. Əsasən, bu, Snort istifadəçilərinə dost olmaqla yanaşı, yeni funksiyalar təklif edən yüngül, çox yivli həlldir.
Üstünlükləri
- Snort verilənlər bazası, qaydaları və istifadəçi interfeysi ilə tam uyğundur;
- Çox yivli arxitektura yüksək performans təmin edir.
Məhdudiyyətlər
- Kiçik icma ilə nisbətən gənc layihə;
- Bütün SIEM-in mənbədən qurulması da daxil olmaqla mürəkkəb quraşdırma prosesi.
Nəticə
Təsvir edilən SIEM sistemlərinin hər birinin öz xüsusiyyətləri və məhdudiyyətləri var, ona görə də onları hər hansı bir təşkilat üçün universal həll adlandırmaq olmaz. Bununla belə, bu həllər açıq mənbəlidir və həddindən artıq xərc çəkmədən onların tətbiqinə, sınaqdan keçirilməsinə və qiymətləndirilməsinə imkan verir.
Bloqda başqa nə oxuya bilərsiniz?
→
→
→
→
→
Bizim kanalımıza abunə olun -növbəti yazını qaçırmamaq üçün kanal! Həftədə iki dəfədən çox olmayan və yalnız iş haqqında yazırıq.
Mənbə: www.habr.com