ProHoster > Π‘Π»ΠΎΠ³ > Pagdumala > 5 nga open-source nga sistema sa pagdumala sa panghitabo sa seguridad

5 nga open-source nga sistema sa pagdumala sa panghitabo sa seguridad

5 nga open-source nga sistema sa pagdumala sa panghitabo sa seguridad

Sa unsang paagi ang usa ka maayo nga opisyal sa seguridad sa IT lahi sa usa ka regular? Dili, dili sa kamatuoran nga sa bisan unsang panahon nga iyang tawagan gikan sa panumduman ang gidaghanon sa mga mensahe nga gipadala sa manager nga si Igor kagahapon sa iyang kauban nga si Maria. Ang usa ka maayo nga opisyal sa seguridad mosulay sa pag-ila sa posible nga mga paglapas sa daan ug dakpon sila sa tinuud nga oras, nga gihimo ang tanan nga paningkamot aron wala’y pagpadayon sa insidente. Ang mga sistema sa pagdumala sa panghitabo sa seguridad (SIEM, gikan sa Impormasyon sa Seguridad ug pagdumala sa panghitabo) labi nga gipasimple ang tahas sa dali nga pag-ayo ug pagbabag sa bisan unsang pagsulay sa paglapas.

Sa naandan, ang mga sistema sa SIEM naghiusa sa usa ka sistema sa pagdumala sa seguridad sa impormasyon ug usa ka sistema sa pagdumala sa panghitabo sa seguridad. Ang usa ka importante nga bahin sa mga sistema mao ang pag-analisar sa mga panghitabo sa seguridad sa tinuod nga panahon, nga nagtugot kanimo sa pagtubag niini sa dili pa magsugod ang kasamtangan nga kadaot.

Ang mga nag-unang buluhaton sa mga sistema sa SIEM:

  • Pagkolekta ug pag-normalize sa datos
  • Data correlation
  • Alerto
  • Mga panel sa visualization
  • Organisasyon sa pagtipig sa datos
  • Pagpangita ug pagtuki sa datos
  • Pagreport

Mga hinungdan sa taas nga panginahanglan alang sa mga sistema sa SIEM

Bag-ohay lang, ang pagkakomplikado ug koordinasyon sa mga pag-atake sa mga sistema sa impormasyon miuswag pag-ayo. Sa samang higayon, ang komplikado sa mga gamit sa pagpanalipod sa impormasyon nga gigamit usab nahimong mas komplikado - network ug host intrusion detection system, DLP system, anti-virus system ug firewalls, vulnerability scanner, ug uban pa. Ang matag himan sa pagpanalipod makamugna og usa ka stream sa mga panghitabo nga adunay lain-laing mga detalye, ug sa kasagaran makakita ka lang og pag-atake pinaagi sa pagpatong sa mga panghitabo gikan sa lain-laing mga sistema.

Adunay daghang mga butang bahin sa tanan nga mga klase sa komersyal nga sistema sa SIEM kini nahisulat, apan nagtanyag kami usa ka mubo nga pagtan-aw sa libre nga hingpit nga bukas nga gigikanan nga mga sistema sa SIEM nga wala’y artipisyal nga pagdili sa gidaghanon sa mga tiggamit o ang kantidad sa gitipig nga datos nga nadawat, ug dali usab nga masukod ug gisuportahan. Kami nanghinaut nga kini makatabang sa pagtimbang-timbang sa potensyal sa ingon nga mga sistema ug pagdesisyon kung i-integrate ba ang ingon nga mga solusyon sa mga proseso sa negosyo sa kompanya.

AlienVault OSSIM

5 nga open-source nga sistema sa pagdumala sa panghitabo sa seguridad

Ang AlienVault OSSIM mao ang open-source nga bersyon sa AlienVault USM, usa sa mga nag-unang komersyal nga sistema sa SIEM. Ang OSSIM usa ka balangkas nga gilangkoban sa daghang open source nga mga proyekto, lakip ang Snort network intrusion detection system, ang Nagios network ug host monitoring system, ang OSSEC host intrusion detection system, ug ang OpenVAS vulnerability scanner.

Ang pag-monitor sa device naggamit sa AlienVault Agent, nga nagpadala sa mga troso gikan sa host sa syslog format ngadto sa GELF nga plataporma, o ang usa ka plug-in mahimong gamiton sa pag-integrate sa mga third-party nga serbisyo, sama sa Cloudflare's website reverse proxy service o Okta's multi-factor authentication system .

Ang bersyon sa USM lahi sa OSSIM sa gipauswag nga pagdumala sa log, pag-monitor sa imprastraktura sa panganod, automation, ug labing bag-ong kasayuran sa hulga ug visualization.

Kaayohan

  • Gitukod sa napamatud-an nga open-source nga mga proyekto;
  • Dako nga komunidad sa mga tiggamit ug developers.

mga kakulangan

  • Dili mosuporta sa cloud platform monitoring (sama sa AWS o Azure);
  • Walay log management, visualization, automation ug integration sa third-party services.

tinubdan

MozDef (Mozilla Defense Platform)

5 nga open-source nga sistema sa pagdumala sa panghitabo sa seguridad

Ang sistema sa MozDef SIEM sa Mozilla gigamit aron awtomatiko ang mga proseso sa pagdumala sa insidente sa seguridad. Ang sistema gidisenyo gikan sa sinugdanan alang sa labing taas nga pasundayag, scalability ug fault tolerance, nga adunay microservice nga arkitektura - ang matag serbisyo nagdagan sa usa ka sudlanan sa Docker.

Sama sa OSSIM, ang MozDef gitukod sa nasulayan na sa panahon nga open source nga mga proyekto, lakip ang Elasticsearch log indexing ug search module, ang Meteor framework alang sa pagtukod og flexible web interface, ug ang Kibana plugin para sa visualization ug pagplano.

Ang correlation ug alerting sa panghitabo gihimo gamit ang usa ka Elasticsearch nga pangutana, nga nagtugot kanimo sa pagsulat sa imong kaugalingon nga pagdumala sa panghitabo ug pag-alerto sa mga lagda gamit ang Python. Sumala sa Mozilla, ang MozDef makadumala sa kapin sa 300 ka milyon nga mga panghitabo kada adlaw. Gidawat lang sa MozDef ang mga panghitabo sa format nga JSON, apan adunay panagsama sa mga serbisyo sa ikatulo nga partido.

Kaayohan

  • Wala mogamit mga ahente - nagtrabaho kauban ang standard nga mga log sa JSON;
  • Sayon scalable salamat sa microservice arkitektura;
  • Nagsuporta sa mga tinubdan sa datos sa serbisyo sa panganod lakip ang AWS CloudTrail ug GuardDuty.

mga kakulangan

  • Usa ka bag-o ug dili kaayo natukod nga sistema.

tinubdan

Wazuh

5 nga open-source nga sistema sa pagdumala sa panghitabo sa seguridad

Nagsugod ang Wazuh ingon usa ka tinidor sa OSSEC, usa sa labing inila nga open source nga SIEM. Ug karon kini ang kaugalingon nga talagsaon nga solusyon nga adunay bag-ong pagpaandar, pag-ayo sa bug ug usa ka na-optimize nga arkitektura.

Ang sistema gitukod sa ElasticStack (Elasticsearch, Logstash, Kibana) ug nagsuporta sa pagkolekta sa datos nga nakabase sa ahente ug sistema sa pag-log in. Kini naghimo niini nga epektibo alang sa pagmonitor sa mga himan nga makamugna og mga troso apan dili mosuporta sa pag-instalar sa ahente - mga himan sa network, mga tig-imprenta, ug mga peripheral.

Gisuportahan sa Wazuh ang naglungtad nga mga ahente sa OSSEC ug naghatag pa gani og giya sa paglalin gikan sa OSSEC ngadto sa Wazuh. Bisan kung ang OSSEC aktibo gihapon nga gipadayon, ang Wazuh nakita nga usa ka pagpadayon sa OSSEC tungod sa pagdugang sa usa ka bag-ong interface sa web, REST API, usa ka labi ka kompleto nga hugpong sa mga lagda, ug daghang uban pang mga pag-uswag.

Kaayohan

  • Pinasukad ug nahiuyon sa sikat nga SIEM OSSEC;
  • Nagsuporta sa lainlaing mga kapilian sa pag-install: Docker, Puppet, Chef, Ansible;
  • Nagsuporta sa pag-monitor sa mga serbisyo sa panganod, lakip ang AWS ug Azure;
  • Naglakip sa usa ka komprehensibo nga hugpong sa mga lagda aron mahibal-an ang daghang mga matang sa mga pag-atake ug gitugotan sila nga itandi sumala sa PCI DSS v3.1 ug CIS.
  • Nag-uban sa Splunk log storage ug analysis system, event visualization ug API support.

mga kakulangan

  • Komplikado nga arkitektura - Nagkinahanglan usa ka bug-os nga Elastic Stack deployment dugang sa mga sangkap sa Wazuh server.

tinubdan

Prelude OS

5 nga open-source nga sistema sa pagdumala sa panghitabo sa seguridad

Ang Prelude OSS usa ka open-source nga bersyon sa komersyal nga Prelude SIEM nga gimugna sa French nga kompanya nga CS. Ang solusyon kay usa ka flexible modular SIEM system nga nagsuporta sa daghang log formats, integration sa third-party tools sama sa OSSEC, Snort, ug ang Suricata network detection system.

Ang matag panghitabo gi-normalize sa usa ka mensahe sa IDMEF, nga nagpasimple sa pagbinayloay sa datos sa ubang mga sistema. Apan adunay usa usab ka langaw sa ointment - Ang Prelude OSS limitado kaayo sa performance ug functionality kon itandi sa commercial nga bersyon sa Prelude SIEM, ug mas gituyo alang sa gagmay nga mga proyekto o alang sa pagtuon sa mga solusyon sa SIEM ug pagtimbang-timbang sa Prelude SIEM.

Kaayohan

  • Ang sistema nga gisulayan sa panahon naugmad sukad sa 1998;
  • Nagsuporta sa daghang lainlaing mga format sa log;
  • Gi-normalize ang datos sa IMDEF format, nga nagpasayon ​​sa pagbalhin sa datos ngadto sa ubang mga sistema sa seguridad.

mga kakulangan

  • Mahinungdanon nga limitado sa pagpaandar ug pasundayag kumpara sa ubang mga open-source nga sistema sa SIEM.

tinubdan

sagan

5 nga open-source nga sistema sa pagdumala sa panghitabo sa seguridad

Ang Sagan usa ka taas nga pasundayag nga SIEM nga nagpasiugda sa pagkaangay sa Snort. Dugang sa pagsuporta sa mga lagda nga gisulat alang sa Snort, si Sagan makasulat sa Snort database ug magamit pa sa Shuil interface. Sa panguna, kini usa ka gaan, multi-threaded nga solusyon nga nagtanyag mga bag-ong bahin samtang nagpabilin nga mahigalaon sa mga tiggamit sa Snort.

Kaayohan

  • Hingpit nga nahiuyon sa Snort database, mga lagda, ug user interface;
  • Ang multi-threaded nga arkitektura nagsiguro sa taas nga pasundayag.

mga kakulangan

  • Medyo batan-on nga proyekto nga adunay gamay nga komunidad;
  • Usa ka komplikado nga proseso sa pag-install, lakip ang pagtukod sa tibuuk nga SIEM gikan sa gigikanan.

tinubdan

konklusyon

Ang matag usa sa gihulagway nga mga sistema sa SIEM adunay kaugalingon nga mga kinaiya ug mga limitasyon, mao nga dili sila matawag nga usa ka unibersal nga solusyon alang sa bisan unsang organisasyon. Bisan pa, kini nga mga solusyon bukas nga gigikanan, nga gitugotan sila nga ma-deploy, masulayan, ug masusi nga wala’y daghang gasto.

Unsa pa ang imong mabasa sa blog? Cloud4Y

β†’ VNIITE sa tibuok planeta: kung giunsa ang "smart home" nga sistema naimbento sa USSR
β†’ Giunsa pagtabang sa mga neural interface ang katawhan
β†’ Cyber ​​insurance sa merkado sa Russia
β†’ Mga suga, camera... cloud: giunsa pagbag-o sa mga panganod ang industriya sa pelikula
β†’ Football sa panganod - uso o kinahanglanon?

Subscribe sa among telegrama-channel, aron dili masipyat sa sunod nga artikulo! Nagsulat kami dili molapas sa kaduha sa usa ka semana ug sa negosyo lamang.

Source: www.habr.com