5 системи за управление на събития за сигурност с отворен код

Как се различава добрият служител по ИТ сигурност от обикновения? Не, не от факта, че във всеки един момент той ще извика от паметта броя на съобщенията, които мениджърът Игор изпрати вчера на колежката си Мария. Добрият служител по сигурността се опитва предварително да идентифицира евентуални нарушения и да ги хване в реално време, като полага всички усилия, за да няма продължение на инцидента. Системите за управление на събития за сигурност (SIEM, от Security information and event management) значително опростяват задачата за бързо коригиране и блокиране на всякакви опити за нарушение.

Традиционно SIEM системите съчетават система за управление на информационната сигурност и система за управление на събития за сигурност. Важна характеристика на системите е анализът на събитията за сигурност в реално време, което ви позволява да реагирате на тях преди настъпването на съществуващи щети.

Основните задачи на SIEM системите:

• Събиране и нормализиране на данни
• Корелация на данни
• Тревога
• Панели за визуализация
• Организация на съхранението на данни
• Търсене и анализ на данни
• Отчитане

Причини за голямото търсене на SIEM системи

Напоследък сложността и координацията на атаките срещу информационните системи значително се увеличиха. В същото време комплексът от използвани инструменти за защита на информацията също става все по-сложен - системи за откриване на проникване в мрежа и хост, DLP системи, антивирусни системи и защитни стени, скенери за уязвимости и т.н. Всеки инструмент за защита генерира поток от събития с различни подробности и често можете да видите атака само чрез наслагване на събития от различни системи.

Има много неща за всички видове търговски SIEM системи писмена, но ние предлагаме кратък преглед на безплатни пълноценни SIEM системи с отворен код, които нямат изкуствени ограничения върху броя на потребителите или количеството получени съхранени данни и също така са лесно мащабируеми и поддържани. Надяваме се, че това ще помогне да се оцени потенциалът на подобни системи и да се реши дали да се интегрират такива решения в бизнес процесите на компанията.

AlienVault OSSIM

AlienVault OSSIM е версията с отворен код на AlienVault USM, една от водещите търговски SIEM системи. OSSIM е рамка, която се състои от няколко проекта с отворен код, включително системата за откриване на проникване в мрежата Snort, системата за наблюдение на мрежата и хоста Nagios, системата за откриване на проникване в хост OSSEC и скенер за уязвимости OpenVAS.

Мониторингът на устройството използва AlienVault Agent, който изпраща регистрационни файлове от хоста във формат syslog към платформата GELF, или плъгин може да се използва за интегриране с услуги на трети страни, като услугата за обратен прокси уебсайт на Cloudflare или системата за многофакторна автентификация на Okta .

USM версията се различава от OSSIM с подобрено управление на регистрационните файлове, мониторинг на облачната инфраструктура, автоматизация и актуална информация и визуализация на заплахите.

предимства

• Изграден върху доказани проекти с отворен код;
• Голяма общност от потребители и разработчици.

Ограничения

• Не поддържа мониторинг на облачна платформа (като AWS или Azure);
• Няма управление на журнали, визуализация, автоматизация и интеграция с услуги на трети страни.

източник

MozDef (Mozilla Defense Platform)

Системата MozDef SIEM на Mozilla се използва за автоматизиране на процесите за обработка на инциденти със сигурността. Системата е проектирана от самото начало за максимална производителност, мащабируемост и толерантност към грешки, с микросервизна архитектура - всяка услуга работи в Docker контейнер.

Подобно на OSSIM, MozDef е изграден върху изпитани във времето проекти с отворен код, включително модула за индексиране и търсене на регистрационни файлове Elasticsearch, рамката Meteor за изграждане на гъвкав уеб интерфейс и плъгина Kibana за визуализация и чертане.

Корелацията на събитията и предупрежденията се извършват с помощта на заявка Elasticsearch, което ви позволява да напишете свои собствени правила за обработка и предупреждения за събития с помощта на Python. Според Mozilla, MozDef може да обработва над 300 милиона събития на ден. MozDef приема само събития във формат JSON, но има интеграция с услуги на трети страни.

предимства

• Не използва агенти - работи със стандартни JSON логове;
• Лесно мащабируема благодарение на микросервизна архитектура;
• Поддържа източници на данни от облачни услуги, включително AWS CloudTrail и GuardDuty.

Ограничения

• Нова и по-малко установена система.

източник

Wazuh

Wazuh започна като разклонение на OSSEC, един от най-популярните SIEM с отворен код. И сега това е собствено уникално решение с нова функционалност, корекции на грешки и оптимизирана архитектура.

Системата е изградена върху ElasticStack (Elasticsearch, Logstash, Kibana) и поддържа както събиране на данни, базирано на агенти, така и поглъщане на системни регистрационни файлове. Това го прави ефективен за наблюдение на устройства, които генерират регистрационни файлове, но не поддържат инсталиране на агент - мрежови устройства, принтери и периферни устройства.

Wazuh поддържа съществуващи агенти на OSSEC и дори предоставя насоки за мигриране от OSSEC към Wazuh. Въпреки че OSSEC все още се поддържа активно, Wazuh се разглежда като продължение на OSSEC поради добавянето на нов уеб интерфейс, REST API, по-пълен набор от правила и много други подобрения.

предимства

• Базиран на и съвместим с популярния SIEM OSSEC;
• Поддържа различни опции за инсталиране: Docker, Puppet, Chef, Ansible;
• Поддържа мониторинг на облачни услуги, включително AWS и Azure;
• Включва изчерпателен набор от правила за откриване на много видове атаки и им позволява да бъдат сравнени в съответствие с PCI DSS v3.1 и CIS.
• Интегрира се със системата за съхранение и анализ на журнали Splunk, визуализация на събития и поддръжка на API.

Ограничения

• Сложна архитектура - Изисква пълно внедряване на Elastic Stack в допълнение към сървърните компоненти на Wazuh.

източник

Прелюдия OSS

Prelude OSS е версия с отворен код на комерсиалния Prelude SIEM, разработена от френската компания CS. Решението е гъвкава модулна SIEM система, която поддържа много формати на регистрационни файлове, интеграция с инструменти на трети страни като OSSEC, Snort и системата за откриване на мрежа Suricata.

Всяко събитие се нормализира в IDMEF съобщение, което опростява обмена на данни с други системи. Но има и муха в мехлема - Prelude OSS е много ограничена като производителност и функционалност в сравнение с търговската версия на Prelude SIEM и е предназначена повече за малки проекти или за изучаване на SIEM решения и оценка на Prelude SIEM.

предимства

• Тествана във времето система, разработена от 1998 г.;
• Поддържа много различни формати на журнали;
• Нормализира данните във формат IMDEF, което улеснява прехвърлянето на данни към други системи за сигурност.

Ограничения

• Значително ограничена функционалност и производителност в сравнение с други SIEM системи с отворен код.

източник

Сейгън

Sagan е високопроизводителен SIEM, който подчертава съвместимостта със Snort. В допълнение към поддържащите правила, написани за Snort, Sagan може да пише в базата данни на Snort и дори може да се използва с интерфейса Shuil. По принцип това е леко, многонишково решение, което предлага нови функции, като същевременно остава приятелско на потребителите на Snort.

предимства

• Напълно съвместим с базата данни, правилата и потребителския интерфейс на Snort;
• Многонишковата архитектура осигурява висока производителност.

Ограничения

• Сравнително млад проект с малка общност;
• Сложен процес на инсталиране, включително изграждане на целия SIEM от източника.

източник

Заключение

Всяка от описаните SIEM системи има свои собствени характеристики и ограничения, така че те не могат да бъдат наречени универсално решение за всяка организация. Тези решения обаче са с отворен код, което ви позволява да ги разположите, тествате и оцените, без да поемате прекомерни разходи.

Какво друго можете да прочетете в блога? Cloud4Y

→ ВНИИТЕ на цялата планета: как в СССР е изобретена системата „умен дом“.
→ Как невронните интерфейси помагат на човечеството
→ Киберзастраховане на руския пазар
→ Светлини, камера... облак: как облаците променят филмовата индустрия
→ Футболът в облаците - мода или необходимост?

Абонирайте се за нашите Telegram-канал, за да не пропуснете следващата статия! Пишем не повече от два пъти седмично и само по работа.

Източник: www.habr.com