Чым добры бяспечнік у ІТ-сферы адрозніваецца ад звычайнага? Не, не тым, што ён у любы момант часу па памяці назаве колькасць паведамленняў, якія мэнэджар Ігар адправіў учора калегу Марыі. Добры бяспечнік імкнецца выявіць магчымыя парушэнні загадзя і адлоўліваць іх у рэжыме рэальнага часу, прыкладаючы ўсе сілы, каб не было працягу інцыдэнту. Сістэмы кіравання падзеямі бяспекі (SIEM, ад Security information and event management) значна спрашчаюць задачу хуткай фіксацыі і блакіроўкі любых спроб парушэнняў.
Традыцыйна SIEM-сістэмы аб'ядноўваюць у сабе сістэму кіравання інфармацыйнай бяспекай і сістэму кіравання падзеямі бяспекі. Важнай асаблівасцю сістэм з'яўляецца аналіз падзей бяспекі ў рэальным часе, што дазваляе рэагаваць на іх да наступлення існуючага ўрону.
Асноўныя задачы SIEM-сістэм:
- Збор і нармалізацыя дадзеных
- Карэляцыя дадзеных
- абвестка
- Панэлі візуалізацыі
- Арганізацыя захоўвання дадзеных
- Пошук і аналіз дадзеных
- Справаздачнасць
Прычыны высокага попыту на SIEM-сістэмы
За апошні час моцна павысіліся складанасць і каардынаванасць нападаў на інфармацыйныя сістэмы. Разам з тым ускладняецца і які ўжываецца комплекс сродкаў абароны інфармацыі-сеткавыя і хаставыя сістэмы выяўлення ўварванняў, DLP-сістэмы, антывірусныя сістэмы і міжсеткавыя экраны, сканары ўразлівасцяў і іншае. Кожны сродак абароны генеруе струмень падзей з рознай дэталізацыяй і часцяком убачыць напад можна толькі па накладанні падзей з розных сістэм.
Пра разнастайныя камерцыйныя SIEM-сістэмы шмат чаго , але мы прапануем кароткі агляд бясплатных паўнавартасных апенсорсных SIEM-сістэм, якія не маюць штучных абмежаванняў на колькасць карыстальнікаў або аб'ёмы прыманых хрысцімых дадзеных, а таксама лёгка маштабуюцца і падтрымліваюцца. Спадзяемся, гэта дапаможа ацаніць патэнцыял падобных сістэм і прыняць рашэнне, ці варта інтэграваць такія рашэнні ў бізнэс-працэсы кампаніі.
AlienVault OSSIM
AlienVault OSSIM - гэта open-source версія AlienVault USM, адной з якія лідыруюць камерцыйных SIEM-сістэм. OSSIM уяўляе сабой фрэймворк, які складаецца з некалькіх праектаў з адкрытым зыходным кодам, уключаючы сеткавую сістэму выяўлення ўварванняў Snort, сістэму маніторынгу сетак і вузлоў Nagios, хаставую сістэму выяўлення ўварванняў OSSEC і сканер уразлівасцяў OpenVAS.
Для маніторынгу за прыладамі выкарыстоўваецца AlienVault Agent, які адпраўляе часопісы з хаста ў фармаце syslog у платформу GELF або можа выкарыстоўвацца плягін для інтэграцыі са іншымі сэрвісамі, такімі як сэрвіс рэверснага праксіравання сайтаў Cloudflare або сістэмай шматфактарнай аўтэнтыфікацыі Okta.
Версія USM адрозніваецца ад OSSIM пашыранай функцыянальнасцю кіравання часопісамі, маніторынгу хмарнай інфраструктуры, аўтаматызацыі, і якая абнаўляецца інфармацыяй аб пагрозах і візуалізацыяй.
Перавагі
- Пабудавана на правераных open-source праектах;
- Вялікая супольнасць карыстальнікаў і распрацоўшчыкаў.
Недахопы
- Не падтрымлівае маніторынг хмарных платформаў (напрыклад, AWS або Azure);
- Адсутнічае кіраванне логамі, візуалізацыя, аўтаматызацыя і інтэграцыя са іншымі сэрвісамі.
MozDef (Mozilla Defense Platform)
Распрацаваная Mozilla SIEM-сістэма MozDef выкарыстоўваецца для аўтаматызацыі працэсаў апрацоўкі інцыдэнтаў бяспекі. Сістэма распрацавана з нуля для атрымання максімальнай хуткадзейнасці, маштабаванасці і адмоваўстойлівасці, з мікрасэрвіснай архітэктурай – кожны сэрвіс працуе ў кантэйнеры Docker.
Як і OSSIM, MozDef пабудавана на правераных часам апенсорсных праектах, якія ўключаюць модуль індэксавання логаў і пошуку Elasticsearch, платформу Meteor для пабудовы гнуткага web-інтэрфейсу, і плягін Kibana для візуалізацыі і пабудовы графікаў.
Карэляцыя падзей і абвестка выконваецца з выкарыстаннем запытам Elasticsearch, што дазваляе напісаць уласныя правілы апрацоўкі падзей і абвесткі з выкарыстаннем Python. Па словах Mozilla, MozDef можа апрацоўваць больш за 300 мільёнаў падзей у дзень. MozDef прымае падзеі толькі ў фармаце JSON, але ёсць інтэграцыя са іншымі сэрвісамі.
Перавагі
- Не выкарыстоўвае агентаў - працуе са стандартнымі логамі JSON;
- Лёгка маштабуецца дзякуючы мікрасэрвіснай архітэктуры;
- Падтрымлівае крыніцы дадзеных хмарных сэрвісаў, у тым ліку AWS CloudTrail і GuardDuty.
Недахопы
- Новая і менш устояная сістэма.
Wazuh
Wazuh пачала развівалася як форк OSSEC, адной з самых папулярных SIEM з адчыненым кодам. І зараз гэтае ўласнае ўнікальнае рашэнне з новай функцыянальнасцю, выпраўленымі памылкамі і аптымізаванай архітэктурай.
Сістэма пабудавана на стэку ElasticStack (Elasticsearch, Logstash, Kibana) і падтрымлівае як збор дадзеных на аснове агентаў, так і прыём сістэмных часопісаў. Гэта робіць яе эфектыўнай для маніторынгу прылад, якія генеруюць часопісы, але не падтрымліваюць усталёўку агента – сеткавыя прылады, друкаркі і перыфірыя.
Wazuh падтрымлівае існуючыя агенты OSSEC і нават дае кіраўніцтва па міграцыі з OSSEC на Wazuh. Хоць OSSEC усё яшчэ актыўна падтрымліваецца, Wazuh разглядаецца як працяг OSSEC з-за даданне новага вэб-інтэрфейсу, REST API, больш поўнага набору правіл і шматлікіх іншых паляпшэнняў.
Перавагі
- Заснавана і сумяшчальная з папулярнай SIEM OSSEC;
- Падтрымлівае розныя варыянты ўстаноўкі: Docker, Puppet, Chef, Ansible;
- Падтрымлівае маніторынг хмарных сэрвісаў, у тым ліку AWS і Azure;
- Уключае комплексны набор правіл, для выяўлення мноства тыпаў нападаў і дазваляе супастаўляць іх у адпаведнасць з PCI DSS v3.1 і CIS.
- Інтэгруецца з сістэмай захоўвання і аналізу логаў Splunk візуалізацыі падзей і падтрымкі API.
Недахопы
- Складаная архітэктура - патрабуе поўнага разгортвання Elastic Stack у дадатак да серверных кампанентаў Wazuh.
Prelude OSS
Prelude OSS - гэта open-source версія камерцыйнай Prelude SIEM, распрацаванай французскай кампаніяй CS. Рашэнне ўяўляе сабой гнуткую модульную SIEM-сістэму, якая падтрымлівае мноства фарматаў логаў, інтэграцыю са іншымі прыладамі такімі як OSSEC, Snort і сеткавую сістэму выяўлення Suricata.
Кожная падзея нармалізуецца ў паведамленне па фармаце IDMEF, што спрашчае абмен дадзенымі з іншымі сістэмамі. Але ёсць і лыжка дзёгцю – Prelude OSS моцна абмежавана па прадукцыйнасці і функцыянальнасці ў параўнанні з камерцыйнай версіяй Prelude SIEM, і прызначаная хутчэй для невялікіх праектаў або для вывучэння рашэнняў SIEM і адзнакі Prelude SIEM.
Перавагі
- Апрабаваная часам сістэма, якая распрацоўваецца з 1998 г.;
- Падтрымлівае мноства розных фарматаў логаў;
- Нармалізуе дадзеныя да фармату IMDEF, што дазваляе лёгка перадаваць дадзеныя ў іншыя сістэмы бяспекі.
Недахопы
- Значна абмежавана па функцыянальнасці і прадукцыйнасці ў параўнанні з іншымі open-source SIEM-сістэмамі.
Саган
Sagan – гэта высокапрадукцыйная SIEM, якая падкрэслівае сумяшчальнасць са Snort. Апроч падтрымкі правіл, напісаных для Snort, Sagan можа выконваць запіс у базу дадзеных Snort і нават можа выкарыстоўвацца з інтэрфейсам Shuil. Па сутнасці, гэта лёгкае шматструменнае рашэнне, якое прапануе новыя функцыі, застаючыся дружалюбным да карыстальнікаў Snort.
Перавагі
- Цалкам сумяшчальная з базай дадзеных Snort, правіламі, і карыстацкім інтэрфейсам;
- Шматструменная архітэктура забяспечвае высокую прадукцыйнасць.
Недахопы
- Параўнальна малады праект з невялікай супольнасцю;
- Складаны працэс усталёўкі, улучальны зборку ўсёй SIEM з зыходнікаў.
Заключэнне
У кожнай з апісаных SIEM-сістэм ёсць свае асаблівасці і абмежаванні, таму іх нельга назваць універсальным рашэннем для любой арганізацыі. Аднак у гэтых рашэнняў адкрыты код, што дазваляе разгортваць, тэсціраваць і ацэньваць іх без празмерных выдаткаў.
Што яшчэ цікавага можна пачытаць у блогу
→
→
→
→
→
Падпісвайцеся на наш -канал, каб не прапусціць чарговы артыкул! Пішам не часцей за два разы на тыдзень і толькі па справе.
Крыніца: habr.com