Hvordan adskiller en god IT-sikkerhedsmedarbejder sig fra en almindelig? Nej, ikke af det faktum, at han til enhver tid vil ringe fra hukommelsen til antallet af beskeder, som lederen Igor sendte i går til sin kollega Maria. En god sikkerhedsofficer forsøger at identificere mulige overtrædelser på forhånd og fange dem i realtid og gør alt for at hændelsen ikke fortsætter. Sikkerhedshændelsesstyringssystemer (SIEM, fra Security information and event management) forenkler i høj grad opgaven med hurtigt at rette og blokere eventuelle overtrædelsesforsøg.
Traditionelt kombinerer SIEM-systemer et informationssikkerhedsstyringssystem og et sikkerhedshændelsesstyringssystem. Et vigtigt træk ved systemerne er analysen af sikkerhedshændelser i realtid, som giver dig mulighed for at reagere på dem, før den eksisterende skade begynder.
De vigtigste opgaver for SIEM-systemer:
- Dataindsamling og normalisering
- Data korrelation
- Alert
- Visualiseringspaneler
- Organisering af datalagring
- Datasøgning og analyse
- Indberetning
Årsager til den store efterspørgsel efter SIEM-systemer
På det seneste er kompleksiteten og koordineringen af angreb på informationssystemer steget markant. Samtidig bliver komplekset af informationsbeskyttelsesværktøjer, der anvendes, også mere komplekst - netværks- og værtsindtrængningsdetektionssystemer, DLP-systemer, antivirussystemer og firewalls, sårbarhedsscannere og så videre. Hvert beskyttelsesværktøj genererer en strøm af hændelser med forskellige detaljer, og ofte kan du kun se et angreb ved at overlejre hændelser fra forskellige systemer.
Der er mange ting om alle slags kommercielle SIEM-systemer , men vi tilbyder en kort oversigt over gratis fuldgyldige open source SIEM-systemer, der ikke har kunstige begrænsninger på antallet af brugere eller mængden af lagrede data, der modtages, og som også er let skalerbare og understøttede. Vi håber, at dette vil være med til at vurdere potentialet i sådanne systemer og beslutte, om sådanne løsninger skal integreres i virksomhedens forretningsprocesser.
AlienVault OSSIM
AlienVault OSSIM er open source-versionen af AlienVault USM, et af de førende kommercielle SIEM-systemer. OSSIM er en ramme bestående af flere open source-projekter, herunder Snort-netværksindtrængningsdetektionssystemet, Nagios netværks- og værtsovervågningssystemet, OSSEC-værtsindtrængningsdetektionssystemet og OpenVAS sårbarhedsscanneren.
Enhedsovervågning bruger AlienVault Agent, som sender logfiler fra værten i syslog-format til GELF-platformen, eller et plug-in kan bruges til at integrere med tredjepartstjenester, såsom Cloudflares hjemmeside omvendt proxy-tjeneste eller Oktas multi-faktor autentificeringssystem .
USM-versionen adskiller sig fra OSSIM i forbedret logstyring, cloud-infrastrukturovervågning, automatisering og opdateret trusselsinformation og visualisering.
Fordele
- Bygget på gennemprøvede open source-projekter;
- Stort fællesskab af brugere og udviklere.
Begrænsninger
- Understøtter ikke cloud-platformovervågning (såsom AWS eller Azure);
- Der er ingen logstyring, visualisering, automatisering og integration med tredjepartstjenester.
MozDef (Mozilla Defence Platform)
Mozillas MozDef SIEM-system bruges til at automatisere processer til håndtering af sikkerhedshændelser. Systemet er designet fra bunden til maksimal ydeevne, skalerbarhed og fejltolerance, med en mikroservicearkitektur – hver service kører i en Docker-container.
Ligesom OSSIM er MozDef bygget på tidstestede open source-projekter, herunder Elasticsearch-logindekserings- og søgemodulet, Meteor-rammeværket til opbygning af en fleksibel webgrænseflade og Kibana-plugin til visualisering og plotning.
Hændelseskorrelation og alarmering udføres ved hjælp af en Elasticsearch-forespørgsel, så du kan skrive dine egne hændelseshåndterings- og advarselsregler ved hjælp af Python. Ifølge Mozilla kan MozDef håndtere over 300 millioner begivenheder om dagen. MozDef accepterer kun begivenheder i JSON-format, men der er integration med tredjepartstjenester.
Fordele
- Bruger ikke agenter - fungerer med standard JSON-logfiler;
- Nemt skalerbar takket være mikroservicearkitektur;
- Understøtter cloud-tjenestedatakilder inklusive AWS CloudTrail og GuardDuty.
Begrænsninger
- Et nyt og mindre etableret system.
Wazuh
Wazuh startede som en forgrening af OSSEC, en af de mest populære open source SIEM'er. Og nu er det sin egen unikke løsning med ny funktionalitet, fejlrettelser og en optimeret arkitektur.
Systemet er bygget på ElasticStack (Elasticsearch, Logstash, Kibana) og understøtter både agentbaseret dataindsamling og systemlogindtagelse. Dette gør det effektivt til overvågning af enheder, der genererer logfiler, men som ikke understøtter agentinstallation - netværksenheder, printere og ydre enheder.
Wazuh understøtter eksisterende OSSEC-agenter og giver endda vejledning om migrering fra OSSEC til Wazuh. Selvom OSSEC stadig vedligeholdes aktivt, ses Wazuh som en fortsættelse af OSSEC på grund af tilføjelsen af en ny webgrænseflade, REST API, et mere komplet sæt regler og mange andre forbedringer.
Fordele
- Baseret på og kompatibel med den populære SIEM OSSEC;
- Understøtter forskellige installationsmuligheder: Docker, Puppet, Chef, Ansible;
- Understøtter overvågning af cloud-tjenester, herunder AWS og Azure;
- Indeholder et omfattende sæt regler til at opdage mange typer angreb og gør det muligt at sammenligne dem i overensstemmelse med PCI DSS v3.1 og CIS.
- Integreres med Splunk-loglagrings- og analysesystemet, eventvisualisering og API-understøttelse.
Begrænsninger
- Kompleks arkitektur - Kræver en fuld Elastic Stack-installation ud over Wazuh-serverkomponenter.
Optakt OSS
Prelude OSS er en open source-version af den kommercielle Prelude SIEM udviklet af det franske firma CS. Løsningen er et fleksibelt modulært SIEM-system, der understøtter mange logformater, integration med tredjepartsværktøjer såsom OSSEC, Snort og Suricata netværksdetektionssystemet.
Hver hændelse normaliseres til en IDMEF-meddelelse, som forenkler dataudveksling med andre systemer. Men der er også en flue i salven – Prelude OSS er meget begrænset i ydeevne og funktionalitet sammenlignet med den kommercielle version af Prelude SIEM, og er mere beregnet til små projekter eller til at studere SIEM-løsninger og evaluere Prelude SIEM.
Fordele
- Tidsprøvet system udviklet siden 1998;
- Understøtter mange forskellige logformater;
- Normaliserer data til IMDEF-formatet, hvilket gør det nemt at overføre data til andre sikkerhedssystemer.
Begrænsninger
- Væsentlig begrænset i funktionalitet og ydeevne sammenlignet med andre open source SIEM-systemer.
Sagan
Sagan er en højtydende SIEM, der lægger vægt på kompatibilitet med Snort. Ud over at understøtte regler skrevet til Snort, kan Sagan skrive til Snort-databasen og kan endda bruges med Shuil-grænsefladen. Grundlæggende er det en let, flertrådet løsning, der tilbyder nye funktioner, mens den forbliver venlig over for Snort-brugere.
Fordele
- Fuldt kompatibel med Snort-databasen, reglerne og brugergrænsefladen;
- Flertrådet arkitektur giver høj ydeevne.
Begrænsninger
- Relativt ungt projekt med et lille samfund;
- En kompleks installationsproces, herunder opbygning af hele SIEM fra kilden.
Konklusion
Hvert af de beskrevne SIEM-systemer har sine egne karakteristika og begrænsninger, så de kan ikke kaldes en universel løsning for nogen organisation. Disse løsninger er dog open source, hvilket giver dem mulighed for at blive implementeret, testet og evalueret uden at pådrage sig for store omkostninger.
Hvad kan du ellers læse på bloggen?
→
→
→
→
→
Abonner på vores -kanal, for ikke at gå glip af næste artikel! Vi skriver ikke mere end to gange om ugen og kun på forretningsrejse.
Kilde: www.habr.com