Mille poolest erineb hea IT-turbespetsialist tavalisest? Ei, mitte sellega, et suvalisel hetkel oskab ta mälu järgi nimetada, mitu sõnumit juht Igor eile kolleeg Mariale saatis. Hea turvaspetsialist püüab võimalikud rikkumised eelnevalt tuvastada ja need reaalajas tabada, tehes kõik endast oleneva, et juhtum ei jätkuks. Turvasündmuste haldussüsteemid (SIEM, turvateabe ja sündmuste haldamine) lihtsustavad oluliselt kõigi rikkumiskatsete kiiret salvestamist ja blokeerimist.
Traditsiooniliselt ühendavad SIEM-süsteemid infoturbe haldussüsteemi ja turvasündmuste haldussüsteemi. Süsteemide oluliseks omaduseks on turvasündmuste analüüs reaalajas, mis võimaldab neile reageerida enne olemasoleva kahju tekkimist.
SIEM-süsteemide peamised ülesanded:
- Andmete kogumine ja normaliseerimine
- Andmete korrelatsioon
- Hoiatus
- Visualiseerimispaneelid
- Andmete salvestamise korraldamine
- Andmete otsing ja analüüs
- Aruandlus
SIEM-süsteemide suure nõudluse põhjused
Viimasel ajal on infosüsteemide vastu suunatud rünnete keerukus ja koordineeritus oluliselt suurenenud. Samal ajal muutub keerukamaks ka kasutatavate infoturbevahendite kompleks – võrgu- ja hostipõhised sissetungituvastussüsteemid, DLP-süsteemid, viirusetõrjesüsteemid ja tulemüürid, haavatavuse skannerid jne. Iga turbetööriist genereerib erineva detailsuse tasemega sündmuste voogu ja sageli saab rünnakut näha vaid erinevate süsteemide kattuvate sündmuste korral.
Kõikvõimalike kaubanduslike SIEM-süsteemide kohta on palju juttu , kuid pakume lühiülevaadet tasuta täisväärtuslikest avatud lähtekoodiga SIEM-süsteemidest, millel ei ole kunstlikke piiranguid kasutajate arvule ega aktsepteeritavate salvestatavate andmete mahule ning mis on ka lihtsalt skaleeritavad ja toetatavad. Loodame, et see aitab hinnata selliste süsteemide potentsiaali ja otsustada, kas selliseid lahendusi tasub ettevõtte äriprotsessidesse integreerida.
AlienVault OSSIM
AlienVault OSSIM on ühe juhtiva kaubandusliku SIEM-süsteemi AlienVault USM avatud lähtekoodiga versioon. OSSIM on raamistik, mis koosneb mitmest avatud lähtekoodiga projektist, sealhulgas Snorti võrgu sissetungimise tuvastamise süsteemist, Nagiose võrgu- ja hosti seiresüsteemist, OSSECi hostipõhisest sissetungituvastussüsteemist ja OpenVAS-i haavatavuse skannerist.
Seadmete jälgimiseks kasutatakse AlienVault Agenti, mis saadab hostilt logid syslogi vormingus GELF-i platvormile või saab kasutada pistikprogrammi integreerimiseks kolmandate osapoolte teenustega, näiteks Cloudflare'i veebisaidi pöördpuhverserveri teenus või Okta multi. -faktori autentimise süsteem.
USM-i versioon erineb OSSIM-ist täiustatud funktsioonidega logihalduse, pilveinfrastruktuuri jälgimise, automatiseerimise ning värskendatud ohuteabe ja visualiseerimisega.
Eelised
- Ehitatud tõestatud avatud lähtekoodiga projektidele;
- Suur kasutajate ja arendajate kogukond.
Piirangud
- ei toeta pilveplatvormide jälgimist (nt AWS või Azure);
- Puudub logihaldus, visualiseerimine, automatiseerimine ega integreerimine kolmandate osapoolte teenustega.
MozDef (Mozilla kaitseplatvorm)
Mozilla välja töötatud süsteemi MozDef SIEM kasutatakse turvaintsidentide töötlemise protsesside automatiseerimiseks. Süsteem on algusest peale loodud maksimaalse jõudluse, skaleeritavuse ja tõrketaluvuse saavutamiseks mikroteenuse arhitektuuriga – iga teenus töötab Dockeri konteineris.
Nagu OSSIM, on ka MozDef üles ehitatud ajatestitud avatud lähtekoodiga projektidele, sealhulgas Elasticsearchi logide indekseerimise ja otsingu moodulile, Meteori platvormile paindliku veebiliidese loomiseks ning Kibana pistikprogrammile visualiseerimiseks ja joonistamiseks.
Sündmuste korrelatsioon ja hoiatus tehakse Elasticsearchi päringute abil, mis võimaldab teil Pythoni abil kirjutada oma sündmuste töötlemise ja hoiatamise reeglid. Mozilla andmetel suudab MozDef töödelda rohkem kui 300 miljonit sündmust päevas. MozDef aktsepteerib ainult JSON-vormingus sündmusi, kuid see on integreeritud kolmandate osapoolte teenustega.
Eelised
- Ei kasuta agente – töötab standardsete JSON-logidega;
- Tänu mikroteenuste arhitektuurile on lihtne skaleerida;
- Toetab pilveteenuste andmeallikaid, sealhulgas AWS CloudTrail ja GuardDuty.
Piirangud
- Uus ja vähem väljakujunenud süsteem.
Wazuh
Wazuh alustas arendamist OSSEC-i, ühe populaarseima avatud lähtekoodiga SIEM-i kahvlina. Ja nüüd on see oma ainulaadne lahendus uute funktsioonide, veaparanduste ja optimeeritud arhitektuuriga.
Süsteem on üles ehitatud ElasticStacki pinule (Elasticsearch, Logstash, Kibana) ja toetab nii agendipõhist andmete kogumist kui ka süsteemi logide sissevõtmist. See muudab selle tõhusaks seadmete jälgimisel, mis loovad logisid, kuid ei toeta agendi installimist – võrguseadmed, printerid ja välisseadmed.
Wazuh toetab olemasolevaid OSSEC-i agente ja annab isegi juhiseid OSSEC-ilt Wazuhile üleminekuks. Kuigi OSSEC-i toetatakse endiselt aktiivselt, nähakse Wazuhi OSSEC-i jätkuna tänu uuele veebiliidesele, REST API-le, täielikumale reeglistikule ja paljudele muudele täiustustele.
Eelised
- Põhineb populaarsel SIEM OSSEC-il ja ühildub sellega;
- Toetab erinevaid paigaldusvõimalusi: Docker, Puppet, Chef, Ansible;
- Toetab pilveteenuste, sealhulgas AWS-i ja Azure'i jälgimist;
- Sisaldab laiaulatuslikku reeglite kogumit mitut tüüpi rünnakute tuvastamiseks ja võimaldab neid võrrelda vastavalt PCI DSS v3.1 ja CIS-ile.
- Integreerub Splunk logi salvestus- ja analüüsisüsteemiga sündmuste visualiseerimiseks ja API toeks.
Piirangud
- Keeruline arhitektuur – nõuab lisaks Wazuhi taustakomponentidele ka täielikku elastse virna juurutamist.
Prelude OS
Prelude OSS on kaubandusliku Prelude SIEM avatud lähtekoodiga versioon, mille on välja töötanud Prantsuse ettevõte CS. Lahendus on paindlik, modulaarne SIEM-süsteem, mis toetab mitut logivormingut, integreerimist kolmandate osapoolte tööriistadega, nagu OSSEC, Snort ja Suricata võrgutuvastussüsteem.
Iga sündmus normaliseeritakse IDMEF-vormingus sõnumiks, mis lihtsustab andmevahetust teiste süsteemidega. Aga kärbes on sees – Prelude OSS on jõudluse ja funktsionaalsuse poolest võrreldes Prelude SIEM-i kommertsversiooniga väga piiratud ning mõeldud pigem väikesteks projektideks või SIEM-i lahenduste uurimiseks ja Prelude SIEM-i hindamiseks.
Eelised
- Aeg-testitud süsteem, arendatud alates 1998. aastast;
- Toetab paljusid erinevaid logivorminguid;
- Normaliseerib andmed IMDEF-vormingusse, muutes andmete edastamise teistesse turvasüsteemidesse lihtsaks.
Piirangud
- Funktsionaalsuse ja jõudluse poolest märkimisväärselt piiratud võrreldes teiste avatud lähtekoodiga SIEM-süsteemidega.
Sagan
Sagan on suure jõudlusega SIEM, mis rõhutab ühilduvust Snortiga. Lisaks Snorti jaoks kirjutatud reeglitele saab Sagan kirjutada Snorti andmebaasi ja seda saab kasutada isegi Shuili liidesega. Põhimõtteliselt on see kerge mitme keermega lahendus, mis pakub uusi funktsioone, jäädes samas Snorti kasutajate jaoks sõbralikuks.
Eelised
- Täielikult ühilduv Snorti andmebaasi, reeglite ja kasutajaliidesega;
- Mitme keermega arhitektuur tagab suure jõudluse.
Piirangud
- Suhteliselt noor projekt väikese kogukonnaga;
- Keeruline installiprotsess, mis hõlmab kogu SIEM-i loomist allikast.
Järeldus
Igal kirjeldatud SIEM-süsteemil on oma omadused ja piirangud, mistõttu ei saa neid nimetada universaalseks lahenduseks ühegi organisatsiooni jaoks. Need lahendused on aga avatud lähtekoodiga, võimaldades neid ilma liigsete kuludeta juurutada, testida ja hinnata.
Mida veel blogist lugeda saab?
→
→
→
→
→
Telli meie -kanal, et mitte järgmisest artiklist ilma jääda! Kirjutame mitte rohkem kui kaks korda nädalas ja ainult tööasjades.
Allikas: www.habr.com