Wie unterscheidet sich ein guter IT-Sicherheitsbeauftragter von einem normalen? Nein, nicht dadurch, dass er jederzeit aus dem Gedächtnis die Anzahl der Nachrichten abruft, die der Manager Igor gestern an seine Kollegin Maria geschickt hat. Ein guter Sicherheitsbeauftragter versucht, mögliche Verstöße im Vorfeld zu erkennen und in Echtzeit zu erkennen, wobei er alles daran setzt, dass es nicht zu einer Fortsetzung des Vorfalls kommt. Systeme zur Verwaltung von Sicherheitsereignissen (SIEM, von Security Information and Event Management) vereinfachen die Aufgabe, Verstöße schnell zu beheben und zu blockieren, erheblich.
Traditionell kombinieren SIEM-Systeme ein Informationssicherheitsmanagementsystem und ein Sicherheitsereignismanagementsystem. Ein wichtiges Merkmal der Systeme ist die Analyse von Sicherheitsereignissen in Echtzeit, die es Ihnen ermöglicht, darauf zu reagieren, bevor ein bestehender Schaden entsteht.
Die Hauptaufgaben von SIEM-Systemen:
- Datenerfassung und Normalisierung
- Datenkorrelation
- Alert
- Visualisierungspanels
- Organisation der Datenspeicherung
- Datensuche und -analyse
- Berichterstattung
Gründe für die hohe Nachfrage nach SIEM-Systemen
Die Komplexität und Koordination von Angriffen auf Informationssysteme hat in letzter Zeit stark zugenommen. Gleichzeitig wird auch der Komplex der verwendeten Informationsschutztools immer komplexer – Netzwerk- und Host-Intrusion-Detection-Systeme, DLP-Systeme, Antivirensysteme und Firewalls, Schwachstellenscanner usw. Jedes Schutztool generiert einen Ereignisstrom mit unterschiedlichen Details, und oft erkennt man einen Angriff erst durch die Überlagerung von Ereignissen aus verschiedenen Systemen.
Es gibt viele Dinge über alle Arten kommerzieller SIEM-Systeme
AlienVault-OSSIM
AlienVault OSSIM ist die Open-Source-Version von AlienVault USM, einem der führenden kommerziellen SIEM-Systeme. OSSIM ist ein Framework, das aus mehreren Open-Source-Projekten besteht, darunter das Netzwerk-Intrusion-Detection-System Snort, das Netzwerk- und Host-Überwachungssystem Nagios, das Host-Intrusion-Detection-System OSSEC und den Schwachstellenscanner OpenVAS.
Die Geräteüberwachung nutzt AlienVault Agent, der Protokolle vom Host im Syslog-Format an die GELF-Plattform sendet, oder ein Plug-in kann zur Integration mit Drittanbieterdiensten verwendet werden, wie dem Website-Reverse-Proxy-Dienst von Cloudflare oder dem Multi-Faktor-Authentifizierungssystem von Okta .
Die USM-Version unterscheidet sich von OSSIM durch verbesserte Protokollverwaltung, Überwachung der Cloud-Infrastruktur, Automatisierung sowie aktuelle Bedrohungsinformationen und -visualisierung.
Vorteile
- Basierend auf bewährten Open-Source-Projekten;
- Große Community von Benutzern und Entwicklern.
Begrenztheit
- Unterstützt keine Cloud-Plattform-Überwachung (wie AWS oder Azure);
- Es gibt keine Protokollverwaltung, Visualisierung, Automatisierung und Integration mit Drittanbieterdiensten.
MozDef (Mozilla Defense Platform)
Das MozDef SIEM-System von Mozilla wird verwendet, um Prozesse zur Behandlung von Sicherheitsvorfällen zu automatisieren. Das System ist von Grund auf auf maximale Leistung, Skalierbarkeit und Fehlertoleranz ausgelegt und verfügt über eine Microservice-Architektur – jeder Service läuft in einem Docker-Container.
MozDef basiert wie OSSIM auf bewährten Open-Source-Projekten, darunter das Protokollindizierungs- und Suchmodul Elasticsearch, das Meteor-Framework zum Aufbau einer flexiblen Webschnittstelle und das Kibana-Plugin zur Visualisierung und Darstellung.
Die Korrelation und Benachrichtigung von Ereignissen erfolgt über eine Elasticsearch-Abfrage, sodass Sie mit Python Ihre eigenen Regeln für die Ereignisbehandlung und Benachrichtigungen schreiben können. Laut Mozilla kann MozDef über 300 Millionen Ereignisse pro Tag verarbeiten. MozDef akzeptiert nur Ereignisse im JSON-Format, es besteht jedoch eine Integration mit Diensten von Drittanbietern.
Vorteile
- Verwendet keine Agenten – funktioniert mit Standard-JSON-Protokollen;
- Leicht skalierbar dank Microservice-Architektur;
- Unterstützt Cloud-Service-Datenquellen, einschließlich AWS CloudTrail und GuardDuty.
Begrenztheit
- Ein neues und weniger etabliertes System.
Wazuh
Wazuh begann als Ableger von OSSEC, einem der beliebtesten Open-Source-SIEMs. Und jetzt ist es eine eigene, einzigartige Lösung mit neuen Funktionen, Fehlerbehebungen und einer optimierten Architektur.
Das System basiert auf ElasticStack (Elasticsearch, Logstash, Kibana) und unterstützt sowohl die agentenbasierte Datenerfassung als auch die Aufnahme von Systemprotokollen. Dies macht es effektiv für die Überwachung von Geräten, die Protokolle generieren, aber keine Agenteninstallation unterstützen – Netzwerkgeräte, Drucker und Peripheriegeräte.
Wazuh unterstützt bestehende OSSEC-Agenten und bietet sogar Anleitungen zur Migration von OSSEC zu Wazuh. Obwohl OSSEC immer noch aktiv gepflegt wird, wird Wazuh aufgrund der Hinzufügung einer neuen Webschnittstelle, einer REST-API, eines umfassenderen Regelwerks und vieler anderer Verbesserungen als Fortsetzung von OSSEC angesehen.
Vorteile
- Basierend auf und kompatibel mit dem beliebten SIEM OSSEC;
- Unterstützt verschiedene Installationsoptionen: Docker, Puppet, Chef, Ansible;
- Unterstützt die Überwachung von Cloud-Diensten, einschließlich AWS und Azure;
- Enthält ein umfassendes Regelwerk zur Erkennung vieler Angriffsarten und ermöglicht deren Vergleich gemäß PCI DSS v3.1 und CIS.
- Integriert sich in das Splunk-Protokollspeicher- und Analysesystem, die Ereignisvisualisierung und die API-Unterstützung.
Begrenztheit
- Komplexe Architektur – Erfordert zusätzlich zu den Wazuh-Serverkomponenten eine vollständige Elastic Stack-Bereitstellung.
Vorspiel OSS
Prelude OSS ist eine Open-Source-Version des kommerziellen Prelude SIEM, das von der französischen Firma CS entwickelt wurde. Die Lösung ist ein flexibles modulares SIEM-System, das viele Protokollformate und die Integration mit Tools von Drittanbietern wie OSSEC, Snort und dem Suricata-Netzwerkerkennungssystem unterstützt.
Jedes Ereignis wird in eine IDMEF-Nachricht normalisiert, was den Datenaustausch mit anderen Systemen vereinfacht. Aber es gibt auch einen Wermutstropfen: Prelude OSS ist im Vergleich zur kommerziellen Version von Prelude SIEM in Leistung und Funktionalität sehr eingeschränkt und eher für kleine Projekte oder zum Studium von SIEM-Lösungen und zur Evaluierung von Prelude SIEM gedacht.
Vorteile
- Bewährtes System, entwickelt seit 1998;
- Unterstützt viele verschiedene Protokollformate;
- Normalisiert Daten in das IMDEF-Format, was die Übertragung von Daten an andere Sicherheitssysteme erleichtert.
Begrenztheit
- Deutlich eingeschränkte Funktionalität und Leistung im Vergleich zu anderen Open-Source-SIEM-Systemen.
Sagan
Sagan ist ein leistungsstarkes SIEM, bei dem die Kompatibilität mit Snort im Vordergrund steht. Sagan unterstützt nicht nur die für Snort geschriebenen Regeln, sondern kann auch in die Snort-Datenbank schreiben und kann sogar mit der Shuil-Schnittstelle verwendet werden. Im Grunde handelt es sich um eine leichte Multithread-Lösung, die neue Funktionen bietet und gleichzeitig für Snort-Benutzer benutzerfreundlich bleibt.
Vorteile
- Vollständig kompatibel mit der Snort-Datenbank, den Regeln und der Benutzeroberfläche;
- Die Multithread-Architektur bietet hohe Leistung.
Begrenztheit
- Relativ junges Projekt mit kleiner Community;
- Ein komplexer Installationsprozess, einschließlich der Erstellung des gesamten SIEM aus dem Quellcode.
Abschluss
Jedes der beschriebenen SIEM-Systeme weist seine eigenen Eigenschaften und Einschränkungen auf, sodass sie nicht als universelle Lösung für eine Organisation bezeichnet werden können. Da es sich bei diesen Lösungen jedoch um Open-Source-Lösungen handelt, können sie ohne übermäßige Kosten bereitgestellt, getestet und evaluiert werden.
Was können Sie sonst noch auf dem Blog lesen?
→
→
→
→
→
Abonnieren Sie unseren
Source: habr.com