Kiel bona IT-sekureca oficisto diferencas de regula? Ne, ne pro tio, ke iam ajn li vokos el la memoro la nombron da mesaĝoj, kiujn la administranto Igor sendis hieraŭ al sia samideano Maria. Bona sekureca oficisto provas identigi eblajn malobservojn anticipe kaj kapti ilin en reala tempo, farante ĉiun penon por ke ne estu daŭrigo de la okazaĵo. Sekurecaj eventaj administradsistemoj (SIEM, de Sekurecaj informoj kaj eventa administrado) multe simpligas la taskon rapide ripari kaj bloki iujn ajn malobservajn provojn.
Tradicie, SIEM-sistemoj kombinas informan sekurecadministradsistemon kaj sekurecan okazaĵadministradsistemon. Grava trajto de la sistemoj estas la analizo de sekurecaj eventoj en reala tempo, kio permesas vin respondi al ili antaŭ la komenco de ekzistanta damaĝo.
La ĉefaj taskoj de SIEM-sistemoj:
- Kolekto kaj normaligo de datumoj
- Korelacio de datumoj
- Atentigo
- Vidigaj paneloj
- Organizo de konservado de datumoj
- Serĉo kaj Analizo de Datumoj
- Raportado
Kialoj de la alta postulo je SIEM-sistemoj
Lastatempe multe pliiĝis la komplekseco kaj kunordigo de atakoj kontraŭ informsistemoj. Samtempe, la komplekso de informprotektaj iloj uzataj ankaŭ fariĝas pli kompleksa - retaj kaj gastigaj entrudiĝaj detektaj sistemoj, DLP-sistemoj, kontraŭvirusaj sistemoj kaj fajroŝirmiloj, vundeblaj skaniloj ktp. Ĉiu protekta ilo generas fluon de eventoj kun malsamaj detaloj, kaj ofte vi nur povas vidi atakon supermetante eventojn de malsamaj sistemoj.
Estas multe pri ĉiaj komercaj SIEM-sistemoj , sed ni ofertas mallongan superrigardon de senpagaj, plenrajtaj malfermfontaj SIEM-sistemoj, kiuj ne havas artefaritajn restriktojn pri la nombro da uzantoj aŭ la volumeno de akceptitaj konservitaj datumoj, kaj ankaŭ estas facile skaleblaj kaj subtenataj. Ni esperas, ke ĉi tio helpos taksi la potencialon de tiaj sistemoj kaj decidi ĉu tiaj solvoj valoras integriĝi en la komercajn procezojn de la kompanio.
AlienVault OSSIM
AlienVault OSSIM estas la malfermfonta versio de AlienVault USM, unu el la ĉefaj komercaj SIEM-sistemoj. OSSIM estas kadro konsistanta el pluraj malfermfontecprojektoj, inkluzive de la Snort-reta entrudiĝa detektosistemo, la Nagios-reto kaj gastiganta monitoradsistemo, la OSSEC-gastigantruddetektosistemon, kaj la OpenVAS vundebleco-skanilo.
Aparato-monitorado uzas AlienVault Agent, kiu sendas tagalojn de la gastiganto en syslog-formato al la GELF-platformo, aŭ aldonaĵo povas esti uzata por integriĝi kun triaj servoj, kiel ekzemple la retejo inversa prokura servo de Cloudflare aŭ la multfaktora aŭtentikigsistemo de Okta.
La USM-versio diferencas de OSSIM en plifortigita ŝtipadministrado, nuba infrastrukturmonitorado, aŭtomatigo, kaj ĝisdataj minacaj informoj kaj bildigo.
Profitoj
- Konstruite sur provitaj malfermfontaj projektoj;
- Granda komunumo de uzantoj kaj programistoj.
mankoj
- Ne subtenas monitoradon de nuba platformo (kiel ekzemple AWS aŭ Azure);
- Ne ekzistas registro-administrado, bildigo, aŭtomatigo kaj integriĝo kun triaj servoj.
MozDef (Mozilla Defenda Platformo)
La MozDef SIEM-sistemo de Mozilla estas uzata por aŭtomatigi procezojn pri sekurecaj okazaĵaj pritraktado. La sistemo estas desegnita de la fundo por maksimuma rendimento, skaleblo kaj toleremo al misfunkciadoj, kun mikroserva arkitekturo - ĉiu servo funkcias en Docker-ujo.
Kiel OSSIM, MozDef estas konstruita sur tempelprovitaj malfermfontaj projektoj, inkluzive de la Elasticsearch-protokolo-indeksado kaj serĉmodulo, la Meteor-kadro por konstrui flekseblan retinterfacon, kaj la Kibana kromaĵo por bildigo kaj intrigo.
Okazaĵkorelacio kaj atentigo estas faritaj per Elasticsearch-demandoj, kio ebligas al vi skribi viajn proprajn aranĝajn prilaborajn kaj atentigi regulojn per Python. Laŭ Mozilla, MozDef povas procesi pli ol 300 milionojn da eventoj ĉiutage. MozDef nur akceptas eventojn en formato JSON, sed ekzistas integriĝo kun triaj servoj.
Profitoj
- Ne uzas agentojn - funkcias kun normaj JSON-protokoloj;
- Facile skalebla danke al mikroserva arkitekturo;
- Elportas datumfontojn de nuba servo inkluzive de AWS CloudTrail kaj GuardDuty.
mankoj
- Nova kaj malpli establita sistemo.
Wazuh
Wazuh komencis evoluon kiel forko de OSSEC, unu el la plej popularaj malfermfontaj SIEMoj. Kaj nun ĝi estas sia propra unika solvo kun novaj funkcioj, korektoj de cimoj kaj optimumigita arkitekturo.
La sistemo estas konstruita sur ElasticStack (Elasticsearch, Logstash, Kibana) kaj subtenas ambaŭ agent-bazitan datumkolektadon kaj sisteman protokolon. Ĉi tio efikas por monitori aparatojn, kiuj generas protokolojn sed ne subtenas agentinstaladon - retajn aparatojn, presilojn kaj ekstercentrajn.
Wazuh subtenas ekzistantajn OSSEC-agentojn kaj eĉ provizas gvidon pri migrado de OSSEC al Wazuh. Kvankam OSSEC daŭre estas aktive konservita, Wazuh estas vidita kiel daŭrigo de OSSEC pro la aldono de nova retinterfaco, REST API, pli kompleta aro de reguloj, kaj multaj aliaj plibonigoj.
Profitoj
- Bazita sur kaj kongrua kun la populara SIEM OSSEC;
- Subtenas diversajn instalajn opciojn: Docker, Puppet, Chef, Ansible;
- Subtenas monitoradon de nubaj servoj, inkluzive de AWS kaj Azure;
- Inkluzivas ampleksan aron de reguloj por detekti multajn specojn de atakoj kaj permesas ilin esti komparitaj laŭ PCI DSS v3.1 kaj CIS.
- Integriĝas kun la stokado kaj analiza sistemo de Splunk, evento-bildigo kaj API-subteno.
mankoj
- Kompleksa arkitekturo - Postulas plenan Elastic Stack-deplojon krom Wazuh-servilkomponentoj.
Preludo OSS
Prelude OSS estas malfermfonta versio de la komerca Prelude SIEM, evoluigita de la franca firmao CS. La solvo estas fleksebla, modula SIEM-sistemo, kiu subtenas multoblajn ŝtipformatojn, integriĝon kun triaj iloj kiel OSSEC, Snort kaj la reto-detekta sistemo Suricata.
Ĉiu okazaĵo estas normaligita en mesaĝon uzante la IDMEF-formaton, kiu simpligas datumŝanĝon kun aliaj sistemoj. Sed estas muŝo en la ungvento - Prelude OSS estas tre limigita en rendimento kaj funkcieco kompare kun la komerca versio de Prelude SIEM, kaj estas destinita pli por malgrandaj projektoj aŭ por studi SIEM-solvojn kaj taksi Prelude SIEM.
Profitoj
- Temp-testita sistemo evoluigita ekde 1998;
- Subtenas multajn malsamajn ŝtipformatojn;
- Normaligas datumojn al IMDEF-formato, faciligante transdoni datumojn al aliaj sekurecaj sistemoj.
mankoj
- Signife limigita en funkcieco kaj efikeco kompare kun aliaj malfermfontaj SIEM-sistemoj.
sagan
Sagan estas alta rendimento SIEM kiu emfazas kongruon kun Snort. Krom subteni regulojn skribitajn por Snort, Sagan povas skribi al la datumbazo Snort kaj eĉ povas esti uzata kun la Shuil-interfaco. Esence, ĝi estas malpeza, plurfadena solvo, kiu ofertas novajn funkciojn, restante amika al uzantoj de Snort.
Profitoj
- Plene kongrua kun la datumbazo Snort, reguloj kaj uzantinterfaco;
- Multi-fadena arkitekturo provizas altan rendimenton.
mankoj
- Relative juna projekto kun malgranda komunumo;
- Kompleksa instala procezo, inkluzive de konstruado de la tuta SIEM el la fonto.
konkludo
Ĉiu el la priskribitaj SIEM-sistemoj havas siajn proprajn karakterizaĵojn kaj limigojn, do ili ne povas esti nomataj universala solvo por iu ajn organizo. Tamen, ĉi tiuj solvoj estas malfermfontaj, permesante ilin esti deplojitaj, provitaj kaj taksitaj sen altigi troajn kostojn.
Kion alian interesan vi povas legi en la blogo?
→
→
→
→
→
Abonu nian -kanalo, por ne maltrafi la sekvan artikolon! Ni skribas ne pli ol dufoje semajne kaj nur pri komerco.
fonto: www.habr.com