¿En qué se diferencia un buen oficial de seguridad de TI de uno regular? No, no por el hecho de que en un momento dado llamará de memoria la cantidad de mensajes que el gerente Igor envió ayer a su colega María. Un buen oficial de seguridad trata de identificar posibles violaciones con anticipación y atraparlas en tiempo real, haciendo todo lo posible para que no haya una continuación del incidente. Los sistemas de gestión de eventos de seguridad (SIEM, de Security information and event management) simplifican enormemente la tarea de corregir y bloquear rápidamente cualquier intento de infracción.
Tradicionalmente, los sistemas SIEM combinan un sistema de gestión de seguridad de la información y un sistema de gestión de eventos de seguridad. Una característica importante de los sistemas es el análisis de los eventos de seguridad en tiempo real, lo que permite responder a los mismos antes de que se produzca el daño existente.
Las principales tareas de los sistemas SIEM:
- Recopilación y normalización de datos
- Correlación de datos
- Alerta
- Paneles de visualización
- Organización del almacenamiento de datos.
- Búsqueda y análisis de datos
- Informes
Razones de la gran demanda de sistemas SIEM
Recientemente, la complejidad y la coordinación de los ataques a los sistemas de información han aumentado considerablemente. Al mismo tiempo, el complejo de herramientas de protección de la información utilizadas también se está volviendo más complejo: sistemas de detección de intrusos en la red y el host, sistemas DLP, sistemas antivirus y firewalls, escáneres de vulnerabilidades, etc. Cada herramienta de protección genera un flujo de eventos con diferentes detalles y, a menudo, solo puede ver un ataque al superponer eventos de diferentes sistemas.
Hay muchas cosas sobre todo tipo de sistemas SIEM comerciales , pero ofrecemos una breve descripción de los sistemas SIEM gratuitos de código abierto completos que no tienen restricciones artificiales en la cantidad de usuarios o la cantidad de datos almacenados recibidos, y también son fácilmente escalables y compatibles. Esperamos que esto ayude a evaluar el potencial de dichos sistemas y decidir si integrar tales soluciones en los procesos comerciales de la empresa.
Alien Vault OSSIM
AlienVault OSSIM es la versión de código abierto de AlienVault USM, uno de los principales sistemas comerciales SIEM. OSSIM es un marco que consta de varios proyectos de código abierto, incluido el sistema de detección de intrusos en la red Snort, el sistema de monitoreo de red y host Nagios, el sistema de detección de intrusos en el host OSSEC y el escáner de vulnerabilidades OpenVAS.
El monitoreo de dispositivos usa AlienVault Agent, que envía registros desde el host en formato syslog a la plataforma GELF, o se puede usar un complemento para integrarse con servicios de terceros, como el servicio de proxy inverso del sitio web de Cloudflare o el sistema de autenticación multifactor de Okta.
La versión de USM se diferencia de OSSIM en la gestión mejorada de registros, el monitoreo de la infraestructura de la nube, la automatización y la información y visualización actualizadas sobre amenazas.
Ventajas
- Basado en proyectos probados de código abierto;
- Gran comunidad de usuarios y desarrolladores.
Limitaciones
- No es compatible con el monitoreo de plataformas en la nube (como AWS o Azure);
- No hay gestión de registros, visualización, automatización e integración con servicios de terceros.
MozDef (Plataforma de defensa de Mozilla)
El sistema MozDef SIEM de Mozilla se utiliza para automatizar los procesos de gestión de incidentes de seguridad. El sistema está diseñado desde cero para obtener el máximo rendimiento, escalabilidad y tolerancia a fallas, con una arquitectura de microservicio: cada servicio se ejecuta en un contenedor Docker.
Al igual que OSSIM, MozDef se basa en proyectos de código abierto probados en el tiempo, incluido el módulo de búsqueda e indexación de registros de Elasticsearch, el marco Meteor para crear una interfaz web flexible y el complemento Kibana para visualización y trazado.
La correlación de eventos y las alertas se realizan mediante una consulta de Elasticsearch, lo que le permite escribir sus propias reglas de alertas y manejo de eventos mediante Python. Según Mozilla, MozDef puede manejar más de 300 millones de eventos por día. MozDef solo acepta eventos en formato JSON, pero hay integración con servicios de terceros.
Ventajas
- No utiliza agentes: funciona con registros JSON estándar;
- Fácilmente escalable gracias a la arquitectura de microservicios;
- Admite fuentes de datos de servicios en la nube, incluidos AWS CloudTrail y GuardDuty.
Limitaciones
- Un sistema nuevo y menos establecido.
wazuh
Wazuh comenzó como una bifurcación de OSSEC, uno de los SIEM de código abierto más populares. Y ahora es su propia solución única con nueva funcionalidad, correcciones de errores y una arquitectura optimizada.
El sistema se basa en ElasticStack (Elasticsearch, Logstash, Kibana) y admite tanto la recopilación de datos basada en agentes como la ingesta de registros del sistema. Esto lo hace efectivo para monitorear dispositivos que generan registros pero que no admiten la instalación de agentes: dispositivos de red, impresoras y periféricos.
Wazuh es compatible con los agentes OSSEC existentes e incluso brinda orientación sobre cómo migrar de OSSEC a Wazuh. Aunque OSSEC todavía se mantiene activamente, Wazuh se considera una continuación de OSSEC debido a la adición de una nueva interfaz web, REST API, un conjunto de reglas más completo y muchas otras mejoras.
Ventajas
- Basado y compatible con el popular SIEM OSSEC;
- Admite varias opciones de instalación: Docker, Puppet, Chef, Ansible;
- Admite el monitoreo de servicios en la nube, incluidos AWS y Azure;
- Incluye un conjunto completo de reglas para detectar muchos tipos de ataques y permite compararlos de acuerdo con PCI DSS v3.1 y CIS.
- Se integra con el sistema de almacenamiento y análisis de registros de Splunk, visualización de eventos y compatibilidad con API.
Limitaciones
- Arquitectura compleja: requiere una implementación completa de Elastic Stack además de los componentes del servidor Wazuh.
Preludio OSS
Prelude OSS es una versión de código abierto del Prelude SIEM comercial desarrollado por la empresa francesa CS. La solución es un sistema SIEM modular flexible que admite muchos formatos de registro, integración con herramientas de terceros como OSSEC, Snort y el sistema de detección de redes Suricata.
Cada evento se normaliza en un mensaje IDMEF, lo que simplifica el intercambio de datos con otros sistemas. Pero también hay una mosca en el ungüento: Prelude OSS tiene un rendimiento y una funcionalidad muy limitados en comparación con la versión comercial de Prelude SIEM, y está destinado más a proyectos pequeños o para estudiar soluciones SIEM y evaluar Prelude SIEM.
Ventajas
- Sistema probado en el tiempo desarrollado desde 1998;
- Admite muchos formatos de registro diferentes;
- Normaliza los datos al formato IMDEF, lo que facilita la transferencia de datos a otros sistemas de seguridad.
Limitaciones
- Significativamente limitado en funcionalidad y rendimiento en comparación con otros sistemas SIEM de código abierto.
Sagan
Sagan es un SIEM de alto rendimiento que enfatiza la compatibilidad con Snort. Además de admitir reglas escritas para Snort, Sagan puede escribir en la base de datos de Snort e incluso puede usarse con la interfaz de Shuil. Básicamente, es una solución liviana de subprocesos múltiples que ofrece nuevas funciones sin dejar de ser amigable para los usuarios de Snort.
Ventajas
- Totalmente compatible con la base de datos, las reglas y la interfaz de usuario de Snort;
- La arquitectura de subprocesos múltiples garantiza un alto rendimiento.
Limitaciones
- Proyecto relativamente joven con una pequeña comunidad;
- Un proceso de instalación complejo, que incluye la creación de todo el SIEM desde el origen.
Conclusión
Cada uno de los sistemas SIEM descritos tiene sus propias características y limitaciones, por lo que no pueden llamarse una solución universal para cualquier organización. Sin embargo, estas soluciones son de código abierto, lo que permite implementarlas, probarlas y evaluarlas sin incurrir en costos excesivos.
¿Qué más puedes leer en el blog?
→
→
→
→
→
Suscríbase a nuestro -canal, para no perderse el próximo artículo! Escribimos no más de dos veces por semana y solo por negocios.
Fuente: habr.com