
Was unterscheidet einen guten IT-Sicherheitsexperten von einem gewöhnlichen? Es ist nicht das, was er aus dem Gedächtnis sagen kann, wie viele Nachrichten der Manager Igor gestern an seine Kollegin Maria geschickt hat. Ein guter Sicherheitsexperte bemüht sich, mögliche Verstöße im Voraus zu erkennen und mit allen Mitteln in Echtzeit zu verhindern, um eine Fortsetzung des Vorfalls zu vermeiden. Sicherheitsinformations- und Ereignismanagement-Systeme (SIEM) erleichtern erheblich die schnelle Erfassung und Blockierung von Versuchen, Sicherheitsverletzungen zu begehen.
Traditionell vereinen SIEM-Systeme die Sicherheitsinformationsmanagement- und Sicherheitsereignismanagement-Systeme. Ein wichtiges Merkmal dieser Systeme ist die Echtzeitanalyse von Sicherheitsereignissen, die es ermöglicht, darauf zu reagieren, bevor ein tatsächlicher Schaden entsteht.
Hauptaufgaben von SIEM-Systemen:
- Datensammlung und -normalisierung
- Datenkorrelation
- Benachrichtigung
- Visualisierungs-Dashboards
- Datenorganisation und -speicherung
- Datensuche und -analyse
- Berichterstattung
Gründe für die hohe Nachfrage nach SIEM-Systemen
In letzter Zeit haben sich die Komplexität und Koordination von Angriffen auf Informationssysteme erheblich erhöht. Gleichzeitig wird auch der Einsatz der Schutzmaßnahmen zunehmend komplizierter – dazu gehören Netz- und Host-Systems für die Eindringungserkennung, DLP-Systeme, Antivirensysteme und Firewalls, Schwachstellenscanner und andere. Jedes Schutzmittel erzeugt einen Strom von Ereignissen mit unterschiedlicher Detailgenauigkeit, und oft kann man einen Angriff nur durch die Überlagerung von Ereignissen aus verschiedenen Systemen erkennen.
Es gibt viele Informationen über verschiedene kommerzielle SIEM-Systeme, aber wir bieten einen kurzen Überblick über kostenlose, vollwertige Open-Source-SIEM-Systeme an, die keine künstlichen Einschränkungen hinsichtlich der Anzahl der Benutzer oder des Volumens der gespeicherten Daten haben und zudem leicht skalierbar und wartbar sind. Wir hoffen, dass dies hilft, das Potenzial solcher Systeme zu bewerten und eine Entscheidung zu treffen, ob es sinnvoll ist, solche Lösungen in die Geschäftsprozesse des Unternehmens zu integrieren.
AlienVault OSSIM

AlienVault OSSIM – die Open-Source-Version von AlienVault USM, einem der führenden kommerziellen SIEM-Systeme. OSSIM ist ein Framework, das aus mehreren Open-Source-Projekten besteht, darunter das Netzwerksystem zur Erkennung von Eindringlingen Snort, das Netzwerk- und Hostmonitoringsystem Nagios, das Host-Eintragsüberwachungssystem OSSEC und der Schwachstellenscanner OpenVAS.
Für die Überwachung der Geräte wird der AlienVault Agent eingesetzt, der Protokolle vom Host im Syslog-Format an die GELF-Plattform sendet oder ein Plugin zur Integration mit Drittanbieterdiensten wie dem Reverse-Proxy-Service von Cloudflare oder dem Mehrfaktorauthentifizierungssystem Okta nutzen kann.
Die USM-Version unterscheidet sich von OSSIM durch erweiterte Funktionen zur Protokollverwaltung, Überwachung der Cloud-Infrastruktur, Automatisierung und aktualisierte Bedrohungsinformationen sowie Visualisierung.
Vorteile
- Basierend auf bewährten Open-Source-Projekten;
- Große Gemeinschaft von Benutzern und Entwicklern.
Nachteile
- Unterstützt keine Überwachung von Cloud-Plattformen (z. B. AWS oder Azure);
- Fehlende Protokollverwaltung, Visualisierung, Automatisierung und Integration mit Drittanbieterdiensten.
MozDef (Mozilla Defense Platform)

Die von Mozilla entwickelte SIEM-Lösung MozDef dient zur Automatisierung von Prozessen zur Behandlung von Sicherheitsvorfällen. Sie wurde von Grund auf für maximale Leistung, Skalierbarkeit und Ausfallsicherheit entwickelt und basiert auf einer Microservices-Architektur – jeder Dienst läuft in einem Docker-Container.
Wie OSSIM basiert auch MozDef auf bewährten Open-Source-Projekten, die ein Modul zur Protokollindizierung und -suche mit Elasticsearch, die Meteor-Plattform für den Aufbau eines flexiblen Web-Interfaces und ein Kibana-Plugin zur Visualisierung und Erstellung von Diagrammen umfassen.
Die Ereigniskorrelation und Benachrichtigungen erfolgen mittels Elasticsearch-Abfragen, was es ermöglicht, eigene Regeln für die Ereignisverarbeitung und -benachrichtigung mit Python zu erstellen. Laut Mozilla kann MozDef über 300 Millionen Ereignisse pro Tag verarbeiten. MozDef akzeptiert Ereignisse nur im JSON-Format, jedoch gibt es Integrationen mit Drittanbieterdiensten.
Vorteile
- Verwendet keine Agenten – funktioniert mit Standard-JSON-Protokollen;
- Lässt sich dank der Microservices-Architektur leicht skalieren;
- Unterstützt Datenquellen von Cloud-Diensten, einschließlich AWS CloudTrail und GuardDuty.
Nachteile
- Ein neues und weniger etabliertes System.
Wazuh

Wazuh begann als Fork von OSSEC, einem der bekanntesten Open-Source-SIEMs. Heute ist es eine eigenständige Lösung mit neuen Funktionen, behobenen Fehlern und einer optimierten Architektur.
Das System basiert auf dem ElasticStack (Elasticsearch, Logstash, Kibana) und unterstützt sowohl die Datensammlung über Agenten als auch den Empfang von Systemprotokollen. Dies macht es effektiv für die Überwachung von Geräten, die Protokolle generieren, aber keine Agenteninstallation unterstützen – wie Netzwerkgeräte, Drucker und Peripheriegeräte.
Wazuh unterstützt die bestehenden OSSEC-Agenten und bietet sogar eine Anleitung zur Migration von OSSEC auf Wazuh. Obwohl OSSEC weiterhin aktiv unterstützt wird, wird Wazuh als Fortsetzung von OSSEC angesehen, da es ein neues Web-Interface, ein REST-API, einen umfassenderen Regelkatalog und viele andere Verbesserungen hinzufügt.
Vorteile
- Basierend auf und kompatibel mit dem beliebten SIEM OSSEC;
- Unterstützt verschiedene Installationsoptionen: Docker, Puppet, Chef, Ansible;
- Unterstützt die Überwachung von Cloud-Diensten, einschließlich AWS und Azure;
- Bietet eine umfassende Regelstruktur zur Erkennung verschiedener Angriffsarten und ermöglicht die Einhaltung der PCI DSS v3.1 und CIS.
- Integriert sich mit dem Splunk-System zur Speicherung und Analyse von Protokollen, zur Visualisierung von Ereignissen und zur Unterstützung von APIs.
Nachteile
- Komplexe Architektur — erfordert die vollständige Bereitstellung des Elastic Stack zusätzlich zu den Serverkomponenten von Wazuh.
Prelude OSS

Prelude OSS ist die Open-Source-Version des kommerziellen Prelude SIEM, das von der französischen Firma CS entwickelt wurde. Die Lösung ist ein flexibles modulares SIEM-System, das viele Protokollformate unterstützt und die Integration mit Drittanbieter-Tools wie OSSEC, Snort und dem Netzwerk-Überwachungssystem Suricata ermöglicht.
Jedes Ereignis wird in eine Nachricht im IDMEF-Format normalisiert, was den Datenaustausch mit anderen Systemen vereinfacht. Allerdings gibt es einen Nachteil: Prelude OSS ist in Bezug auf Leistung und Funktionalität stark eingeschränkt im Vergleich zur kommerziellen Version von Prelude SIEM und ist eher für kleine Projekte oder zur Erlernung von SIEM-Lösungen und zur Bewertung von Prelude SIEM gedacht.
Vorteile
- Eine bewährte Lösung, die seit 1998 entwickelt wird;
- Unterstützt eine Vielzahl verschiedener Protokollformate;
- Normalisiert Daten im IMDEF-Format, was eine einfache Übertragung in andere Sicherheitssysteme ermöglicht.
Nachteile
- Stark eingeschränkt in Bezug auf Funktionalität und Leistung im Vergleich zu anderen Open-Source-SIEM-Systemen.
Sagan

Sagan ist ein leistungsstarkes SIEM, das die Kompatibilität mit Snort betont. Neben der Unterstützung von für Snort geschriebenen Regeln kann Sagan Daten in die Snort-Datenbank schreiben und sogar mit der Shuil-Schnittstelle genutzt werden. Im Grunde genommen handelt es sich um eine leichtgewichtige, multithreaded Lösung, die neue Funktionen bietet und gleichzeitig benutzerfreundlich für Snort-Nutzer bleibt.
Vorteile
- Vollständig kompatibel mit der Snort-Datenbank, den Regeln und der Benutzeroberfläche;
- Die multithreaded Architektur gewährleistet hohe Leistung.
Nachteile
- Relativ junges Projekt mit einer kleinen Community;
- Komplexer Installationsprozess, der die Zusammenstellung des gesamten SIEM aus dem Quellcode beinhaltet.
Fazit
Jedes der beschriebenen SIEM-Systeme hat seine eigenen Besonderheiten und Einschränkungen, sodass sie nicht als universelle Lösung für jede Organisation betrachtet werden können. Dennoch ist der Quellcode dieser Lösungen offen, was die Bereitstellung, Tests und Bewertungen ohne übermäßige Kosten ermöglicht.
Was Sie sonst noch im Blog lesen können
→
→
→
→
→
Abonnieren Sie unseren -Kanal, um keinen neuen Artikel zu verpassen! Wir schreiben höchstens zweimal pro Woche und nur wenn es notwendig ist.
Quelle: habr.com
