Po čemu se dobar službenik za IT sigurnost razlikuje od običnog? Ne, ne činjenicom da će u svakom trenutku iz pamćenja prozvati broj poruka koje je menadžer Igor jučer poslao svojoj koleginici Mariji. Dobar službenik obezbjeđenja pokušava unaprijed uočiti moguće prekršaje i uhvatiti ih u realnom vremenu, trudeći se da ne dođe do nastavka incidenta. Sistemi za upravljanje sigurnosnim događajima (SIEM, od Security information and event management) uvelike pojednostavljuju zadatak brzog popravljanja i blokiranja bilo kakvih pokušaja kršenja.
Tradicionalno, SIEM sistemi kombinuju sistem upravljanja sigurnošću informacija i sistem upravljanja sigurnosnim događajima. Važna karakteristika sistema je analiza sigurnosnih događaja u realnom vremenu, što vam omogućava da na njih odgovorite prije pojave postojeće štete.
Glavni zadaci SIEM sistema:
- Prikupljanje i normalizacija podataka
- Korelacija podataka
- Upozorenje
- Paneli za vizualizaciju
- Organizacija skladištenja podataka
- Pretraga i analiza podataka
- Izvještavanje
Razlozi velike potražnje za SIEM sistemima
U posljednje vrijeme složenost i koordinacija napada na informacione sisteme su se znatno povećali. Istovremeno, kompleks alata za zaštitu informacija koji se koristi postaje sve složeniji – sistemi za otkrivanje upada u mrežu i hostove, DLP sistemi, antivirusni sistemi i firewall, skeneri ranjivosti i tako dalje. Svaki zaštitni alat generiše tok događaja sa različitim detaljima i često možete videti napad samo preklapanjem događaja iz različitih sistema.
Postoji mnogo stvari o svim vrstama komercijalnih SIEM sistema , ali nudimo kratak pregled besplatnih punopravnih SIEM sistema otvorenog koda koji nemaju umjetna ograničenja broja korisnika ili količine primljenih podataka, a također su lako skalabilni i podržani. Nadamo se da će ovo pomoći da se procijeni potencijal ovakvih sistema i odluči hoće li se takva rješenja integrirati u poslovne procese kompanije.
AlienVault OSSIM
AlienVault OSSIM je verzija otvorenog koda AlienVault USM, jednog od vodećih komercijalnih SIEM sistema. OSSIM je okvir koji se sastoji od nekoliko projekata otvorenog koda, uključujući Snort sistem za otkrivanje upada u mrežu, Nagios mrežu i sistem za praćenje hosta, OSSEC sistem za otkrivanje upada u host i OpenVAS skener ranjivosti.
Nadgledanje uređaja koristi AlienVault Agent, koji šalje logove sa hosta u syslog formatu na GELF platformu, ili se dodatak može koristiti za integraciju sa uslugama trećih strana, kao što je usluga obrnutog proxyja Cloudflare web stranice ili Okta višefaktorski sistem autentifikacije .
USM verzija se razlikuje od OSSIM-a po poboljšanom upravljanju dnevnikom, nadzoru infrastrukture oblaka, automatizaciji i ažuriranim informacijama o prijetnjama i vizualizaciji.
Prednosti
- Izgrađen na dokazanim projektima otvorenog koda;
- Velika zajednica korisnika i programera.
mane
- Ne podržava praćenje platforme u oblaku (kao što su AWS ili Azure);
- Ne postoji upravljanje dnevnikom, vizualizacija, automatizacija i integracija sa uslugama trećih strana.
MozDef (Mozilla Defense Platform)
Mozillin MozDef SIEM sistem se koristi za automatizaciju procesa rukovanja sigurnosnim incidentima. Sistem je dizajniran od temelja za maksimalne performanse, skalabilnost i toleranciju grešaka, sa mikroservisnom arhitekturom - svaka usluga radi u Docker kontejneru.
Poput OSSIM-a, MozDef je izgrađen na vremenski testiranim projektima otvorenog koda, uključujući modul za indeksiranje i pretraživanje dnevnika Elasticsearch, Meteor framework za izgradnju fleksibilnog web sučelja i Kibana dodatak za vizualizaciju i crtanje.
Korelacija događaja i upozorenje se obavljaju pomoću upita Elasticsearch, što vam omogućava da napišete vlastita pravila za rukovanje događajima i upozorenja koristeći Python. Prema Mozilli, MozDef može da obradi preko 300 miliona događaja dnevno. MozDef prihvata samo događaje u JSON formatu, ali postoji integracija sa uslugama trećih strana.
Prednosti
- Ne koristi agente - radi sa standardnim JSON logovima;
- Lako skalabilan zahvaljujući mikroservisnoj arhitekturi;
- Podržava izvore podataka usluge u oblaku uključujući AWS CloudTrail i GuardDuty.
mane
- Nov i manje uspostavljen sistem.
Wazuh
Wazuh je počeo kao fork OSSEC-a, jednog od najpopularnijih SIEM-ova otvorenog koda. A sada je to vlastito jedinstveno rješenje s novom funkcionalnošću, ispravkama grešaka i optimiziranom arhitekturom.
Sistem je izgrađen na ElasticStack-u (Elasticsearch, Logstash, Kibana) i podržava prikupljanje podataka bazirano na agentima i unos sistemske evidencije. Ovo ga čini efikasnim za nadzor uređaja koji generišu evidenciju, ali ne podržavaju instalaciju agenta - mrežni uređaji, štampači i periferne jedinice.
Wazuh podržava postojeće OSSEC agente i čak daje smjernice za prelazak sa OSSEC na Wazuh. Iako se OSSEC još uvijek aktivno održava, Wazuh se vidi kao nastavak OSSEC-a zbog dodavanja novog web interfejsa, REST API-ja, kompletnijeg skupa pravila i mnogih drugih poboljšanja.
Prednosti
- Zasnovan i kompatibilan sa popularnim SIEM OSSEC;
- Podržava različite opcije instalacije: Docker, Puppet, Chef, Ansible;
- Podržava praćenje usluga u oblaku, uključujući AWS i Azure;
- Uključuje sveobuhvatan skup pravila za otkrivanje mnogih vrsta napada i omogućava njihovo poređenje u skladu sa PCI DSS v3.1 i CIS.
- Integrira se sa sistemom za pohranu i analizu dnevnika Splunk, vizualizacijom događaja i API podrškom.
mane
- Složena arhitektura - Zahtijeva potpunu implementaciju Elastic Stack pored komponenti Wazuh servera.
Prelude OS
Prelude OSS je verzija otvorenog koda komercijalnog Prelude SIEM koju je razvila francuska kompanija CS. Rješenje je fleksibilan modularni SIEM sistem koji podržava mnoge formate dnevnika, integraciju sa alatima trećih strana kao što su OSSEC, Snort i Suricata sistem za detekciju mreže.
Svaki događaj se normalizuje u IDMEF poruku, što pojednostavljuje razmenu podataka sa drugim sistemima. Ali postoji i muha - Prelude OSS je veoma ograničen u performansama i funkcionalnosti u poređenju sa komercijalnom verzijom Prelude SIEM-a, i namenjen je više za male projekte ili za proučavanje SIEM rešenja i evaluaciju Prelude SIEM-a.
Prednosti
- Vremenski testiran sistem razvijen od 1998. godine;
- Podržava mnogo različitih formata dnevnika;
- Normalizira podatke u IMDEF format, što olakšava prijenos podataka u druge sigurnosne sisteme.
mane
- Značajno ograničen u funkcionalnosti i performansama u poređenju sa drugim SIEM sistemima otvorenog koda.
sagan
Sagan je SIEM visokih performansi koji naglašava kompatibilnost sa Snort-om. Pored toga što podržava pravila napisana za Snort, Sagan može pisati u Snort bazu podataka i čak se može koristiti sa Shuil interfejsom. U osnovi, to je lagano rješenje s više niti koje nudi nove funkcije, a pritom je prijateljski nastrojeno prema Snort korisnicima.
Prednosti
- Potpuno kompatibilan sa Snort bazom podataka, pravilima i korisničkim interfejsom;
- Arhitektura sa više niti pruža visoke performanse.
mane
- Relativno mlad projekat sa malom zajednicom;
- Složen proces instalacije, uključujući izgradnju cijelog SIEM-a iz izvora.
zaključak
Svaki od opisanih SIEM sistema ima svoje karakteristike i ograničenja, pa se ne može nazvati univerzalnim rješenjem za bilo koju organizaciju. Međutim, ova rješenja su otvorenog koda, što im omogućava da se implementiraju, testiraju i procjenjuju bez prevelikih troškova.
Šta još možete pročitati na blogu?
→
→
→
→
→
Pretplatite se na naše -kanal, da ne propustite sljedeći članak! Pišemo ne više od dva puta sedmično i samo poslovno.
izvor: www.habr.com