Sut mae arbenigwr diogelwch TG da yn wahanol i un cyffredin? Na, nid gan y ffaith ei fod ar unrhyw adeg benodol yn gallu enwi o'i gof nifer y negeseuon a anfonodd y rheolwr Igor ddoe at ei gydweithiwr Maria. Mae arbenigwr diogelwch da yn ceisio nodi troseddau posibl ymlaen llaw a'u dal mewn amser real, gan wneud pob ymdrech i sicrhau nad yw'r digwyddiad yn parhau. Mae systemau rheoli digwyddiadau diogelwch (SIEM, o wybodaeth Ddiogelwch a rheoli digwyddiadau) yn symleiddio'r dasg o gofnodi a rhwystro unrhyw doriadau y gwneir cais amdanynt yn gyflym.
Yn draddodiadol, mae systemau SIEM yn cyfuno system rheoli diogelwch gwybodaeth a system rheoli digwyddiadau diogelwch. Nodwedd bwysig o'r systemau yw dadansoddi digwyddiadau diogelwch mewn amser real, sy'n eich galluogi i ymateb iddynt cyn i ddifrod presennol ddigwydd.
Prif dasgau systemau SIEM:
- Casglu a normaleiddio data
- Cydberthynas Data
- Rhybudd
- Paneli delweddu
- Trefniadaeth storio data
- Chwilio a Dadansoddi Data
- Adrodd
Rhesymau dros y galw mawr am systemau SIEM
Yn ddiweddar, mae cymhlethdod a chydlyniad ymosodiadau ar systemau gwybodaeth wedi cynyddu'n fawr. Ar yr un pryd, mae'r cymhleth o offer diogelwch gwybodaeth a ddefnyddir hefyd yn dod yn fwy cymhleth - systemau canfod ymyrraeth rhwydwaith a gwesteiwr, systemau DLP, systemau gwrth-firws a waliau tân, sganwyr bregusrwydd, ac ati. Mae pob teclyn diogelwch yn cynhyrchu llif o ddigwyddiadau gyda lefelau amrywiol o fanylder, ac yn aml dim ond trwy ddigwyddiadau sy'n gorgyffwrdd o wahanol systemau y gellir gweld ymosodiad.
Mae llawer am bob math o systemau SIEM masnachol , ond rydym yn cynnig trosolwg byr o systemau SIEM ffynhonnell agored llawn, rhad ac am ddim nad oes ganddynt gyfyngiadau artiffisial ar nifer y defnyddwyr na maint y data storio a dderbynnir, ac sydd hefyd yn hawdd eu graddio a'u cefnogi. Gobeithiwn y bydd hyn yn helpu i asesu potensial systemau o’r fath a phenderfynu a yw’n werth integreiddio datrysiadau o’r fath i brosesau busnes y cwmni.
AlienVault OSSIM
Mae AlienVault OSSIM yn fersiwn ffynhonnell agored o AlienVault USM, un o'r systemau SIEM masnachol blaenllaw. Mae OSSIM yn fframwaith sy'n cynnwys nifer o brosiectau ffynhonnell agored, gan gynnwys system canfod ymyrraeth rhwydwaith Snort, rhwydwaith Nagios a system monitro gwesteiwr, system canfod ymyrraeth sy'n seiliedig ar westeiwr OSSEC, a sganiwr bregusrwydd OpenVAS.
I fonitro dyfeisiau, defnyddir yr Asiant AlienVault, sy'n anfon logiau o'r gwesteiwr mewn fformat syslog i'r platfform GELF, neu gellir defnyddio ategyn ar gyfer integreiddio â gwasanaethau trydydd parti, megis gwasanaeth dirprwy wrthdroi gwefan Cloudflare neu'r Okta multi - system ddilysu ffactor.
Mae'r fersiwn USM yn wahanol i OSSIM gyda gwell ymarferoldeb ar gyfer rheoli logiau, monitro seilwaith cwmwl, awtomeiddio, a gwybodaeth bygythiadau a delweddu wedi'u diweddaru.
Manteision
- Wedi'i adeiladu ar brosiectau ffynhonnell agored profedig;
- Cymuned fawr o ddefnyddwyr a datblygwyr.
Cyfyngiadau
- Nid yw'n cefnogi monitro llwyfannau cwmwl (er enghraifft, AWS neu Azure);
- Nid oes unrhyw reoli logiau, delweddu, awtomeiddio nac integreiddio â gwasanaethau trydydd parti.
MozDef (Llwyfan Amddiffyn Mozilla)
Defnyddir system SIEM MozDef a ddatblygwyd gan Mozilla i awtomeiddio prosesau prosesu digwyddiadau diogelwch. Mae'r system wedi'i chynllunio o'r gwaelod i fyny i gyflawni'r perfformiad mwyaf, y gallu i raddio a goddefgarwch namau, gyda phensaernïaeth microwasanaeth - mae pob gwasanaeth yn rhedeg mewn cynhwysydd Docker.
Fel OSSIM, mae MozDef wedi'i adeiladu ar brosiectau ffynhonnell agored â phrawf amser, gan gynnwys modiwl mynegeio a chwilio log Elasticsearch, y platfform Meteor ar gyfer adeiladu rhyngwyneb gwe hyblyg, ac ategyn Kibana ar gyfer delweddu a phlotio.
Perfformir cydberthynas a rhybuddio digwyddiadau gan ddefnyddio ymholiadau Elasticsearch, sy'n eich galluogi i ysgrifennu eich rheolau prosesu a rhybuddio digwyddiadau eich hun gan ddefnyddio Python. Yn ôl Mozilla, gall MozDef brosesu mwy na 300 miliwn o ddigwyddiadau y dydd. Dim ond digwyddiadau ar fformat JSON y mae MozDef yn eu derbyn, ond mae integreiddio â gwasanaethau trydydd parti.
Manteision
- Nid yw'n defnyddio asiantau - mae'n gweithio gyda logiau JSON safonol;
- Graddfeydd hawdd diolch i bensaernïaeth microservice;
- Yn cefnogi ffynonellau data gwasanaeth cwmwl gan gynnwys AWS CloudTrail a GuardDuty.
Cyfyngiadau
- System newydd a llai sefydledig.
Wazuh
Dechreuodd Wazuh ddatblygu fel fforch o OSSEC, un o'r SIEMs ffynhonnell agored mwyaf poblogaidd. Ac yn awr mae'n ddatrysiad unigryw ei hun gydag ymarferoldeb newydd, atgyweiriadau bygiau a phensaernïaeth wedi'i optimeiddio.
Mae'r system wedi'i hadeiladu ar y stac ElasticStack (Elasticsearch, Logstash, Kibana) ac mae'n cefnogi casglu data yn seiliedig ar asiant ac amlyncu log system. Mae hyn yn ei gwneud yn effeithiol ar gyfer monitro dyfeisiau sy'n cynhyrchu logiau ond nad ydynt yn cefnogi gosod asiant - dyfeisiau rhwydwaith, argraffwyr a perifferolion.
Mae Wazuh yn cefnogi asiantau OSSEC presennol a hyd yn oed yn darparu arweiniad ar fudo o OSSEC i Wazuh. Er bod OSSEC yn dal i gael ei gefnogi'n weithredol, mae Wazuh yn cael ei ystyried yn barhad o OSSEC oherwydd ychwanegu rhyngwyneb gwe newydd, REST API, set fwy cyflawn o reolau, a llawer o welliannau eraill.
Manteision
- Yn seiliedig ar ac yn gydnaws â'r OSSEC SIEM poblogaidd;
- Yn cefnogi opsiynau gosod amrywiol: Dociwr, Pyped, Cogydd, Ansible;
- Yn cefnogi monitro gwasanaethau cwmwl, gan gynnwys AWS ac Azure;
- Yn cynnwys set gynhwysfawr o reolau i ganfod mathau lluosog o ymosodiadau ac yn caniatáu ichi eu cymharu yn unol â PCI DSS v3.1 a CIS.
- Yn integreiddio â system storio a dadansoddi logiau Splunk ar gyfer delweddu digwyddiadau a chefnogaeth API.
Cyfyngiadau
- Pensaernïaeth gymhleth - mae angen defnyddio Stack Elastig llawn yn ogystal â chydrannau cefn Wazuh.
Rhagarweiniad AO
Mae Prelude OSS yn fersiwn ffynhonnell agored o'r Prelude SIEM masnachol, a ddatblygwyd gan y cwmni Ffrengig CS. Mae'r datrysiad yn system SIEM hyblyg, modiwlaidd sy'n cefnogi sawl fformat log, integreiddio ag offer trydydd parti fel OSSEC, Snort a system canfod rhwydwaith Suricata.
Mae pob digwyddiad yn cael ei normaleiddio i mewn i neges gan ddefnyddio fformat IDMEF, sy'n symleiddio cyfnewid data gyda systemau eraill. Ond mae yna hedfan yn yr eli - mae Prelude OSS yn gyfyngedig iawn o ran perfformiad ac ymarferoldeb o'i gymharu â fersiwn fasnachol Prelude SIEM, ac fe'i bwriedir yn fwy ar gyfer prosiectau bach neu ar gyfer astudio datrysiadau SIEM a gwerthuso Prelude SIEM.
Manteision
- System prawf amser, a ddatblygwyd ers 1998;
- Yn cefnogi llawer o wahanol fformatau log;
- Yn normaleiddio data i fformat IMDEF, gan ei gwneud hi'n hawdd trosglwyddo data i systemau diogelwch eraill.
Cyfyngiadau
- Cyfyngedig sylweddol o ran ymarferoldeb a pherfformiad o gymharu â systemau SIEM ffynhonnell agored eraill.
sagan
Mae Sagan yn SIEM perfformiad uchel sy'n pwysleisio cydnawsedd â Snort. Yn ogystal â rheolau ategol a ysgrifennwyd ar gyfer Snort, gall Sagan ysgrifennu at gronfa ddata Snort a gellir ei ddefnyddio hyd yn oed gyda rhyngwyneb Shuil. Yn y bôn, mae'n ddatrysiad aml-edau ysgafn sy'n cynnig nodweddion newydd tra'n parhau i fod yn gyfeillgar i ddefnyddwyr Snort.
Manteision
- Yn gwbl gydnaws â chronfa ddata Snort, rheolau, a rhyngwyneb defnyddiwr;
- Mae pensaernïaeth aml-edau yn darparu perfformiad uchel.
Cyfyngiadau
- Prosiect cymharol ifanc gyda chymuned fechan;
- Proses osod gymhleth sy'n cynnwys adeiladu'r SIEM cyfan o'r ffynhonnell.
Casgliad
Mae gan bob un o'r systemau SIEM a ddisgrifir ei nodweddion a'i gyfyngiadau ei hun, felly ni ellir eu galw'n ddatrysiad cyffredinol i unrhyw sefydliad. Fodd bynnag, mae'r atebion hyn yn ffynhonnell agored, sy'n caniatáu iddynt gael eu defnyddio, eu profi, a'u gwerthuso heb fynd i gostau gormodol.
Beth arall diddorol allwch chi ei ddarllen ar y blog?
→
→
→
→
→
Tanysgrifiwch i'n -sianel, er mwyn peidio â cholli'r erthygl nesaf! Nid ydym yn ysgrifennu mwy na dwywaith yr wythnos a dim ond ar fusnes.
Ffynhonnell: hab.com