Nola desberdintzen da informatika-segurtasuneko arduradun on bat ohiko batekin? Ez, ez noiznahi oroimenetik deituko diolako Igor kudeatzaileak atzo Maria lankideari bidali zizkion mezu kopurua. Segurtasun-arduradun on bat aldez aurretik balizko urraketak identifikatzen eta denbora errealean harrapatzen saiatzen da, ahalegin guztiak eginez gertakariaren jarraipena izan ez dadin. Segurtasun-gertaerak kudeatzeko sistemek (SIEM, Segurtasun informazioa eta gertaeren kudeaketa) asko errazten dute edozein urraketa-saiakerak azkar konpontzeko eta blokeatzeko lana.
Tradizionalki, SIEM sistemek informazioaren segurtasuna kudeatzeko sistema eta segurtasun ekitaldiak kudeatzeko sistema konbinatzen dituzte. Sistemen ezaugarri garrantzitsu bat segurtasun-gertaerak denbora errealean aztertzea da, eta horri esker lehendik dauden kalteak hasi aurretik erantzuteko aukera ematen du.
SIEM sistemen zeregin nagusiak:
- Datu bilketa eta normalizazioa
- Datuen korrelazioa
- Alerta
- Bistaratzeko panelak
- Datuak biltegiratzeko antolaketa
- Datuen bilaketa eta azterketa
- Txostenak ematea
SIEM sistemen eskaera handiaren arrazoiak
Azkenaldian, asko handitu dira informazio sistemen aurkako erasoen konplexutasuna eta koordinazioa. Aldi berean, erabiltzen diren informazioa babesteko tresnen konplexua ere gero eta konplexuagoa da: sareko eta ostalariaren intrusioak detektatzeko sistemak, DLP sistemak, birusen aurkako sistemak eta suebakiak, ahultasun-eskanerrak, etab. Babes-tresna bakoitzak xehetasun ezberdineko gertaeren jarioa sortzen du, eta askotan sistema ezberdinetako gertaerak gainjarriz soilik ikus ditzakezu erasoak.
SIEM sistema komertzialei buruz gauza asko daude , baina doako kode irekiko SIEM sistemen ikuspegi laburra eskaintzen dugu, erabiltzaile-kopuruari edo jasotako datu-kopuruari buruzko murrizketa artifizialak ez dituztenak eta, gainera, erraz eskalagarriak eta onartzen direnak. Espero dugu honek horrelako sistemen potentziala ebaluatzen lagunduko duela eta irtenbide horiek enpresaren negozio prozesuetan txertatu ala ez erabakitzen.
AlienVault OSSIM
AlienVault OSSIM AlienVault USM-ren kode irekiko bertsioa da, SIEM sistema komertzial nagusietako bat. OSSIM kode irekiko hainbat proiektuz osatutako esparrua da, besteak beste, Snort sareko intrusioak detektatzeko sistema, Nagios sarea eta ostalariaren monitorizazio sistema, OSSEC ostalariaren intrusioak hautemateko sistema eta OpenVAS ahultasun eskanerra.
Gailuaren monitorizazioak AlienVault Agent erabiltzen du, ostalariaren erregistroak syslog formatuan bidaltzen dituena GELF plataformara, edo plug-in bat erabil daiteke hirugarrenen zerbitzuekin integratzeko, hala nola Cloudflare-ren webgunearen alderantzizko proxy zerbitzua edo Okta-ren faktore anitzeko autentifikazio-sistema. .
USM bertsioa OSSIM-en desberdina da erregistro-kudeaketa hobetuan, hodeiko azpiegituren monitorizazioan, automatizazioan eta mehatxuen informazio eguneratua eta bistaratzean.
Abantailak
- Kode irekiko proiektu frogatuetan eraikia;
- Erabiltzaile eta garatzaileen komunitate zabala.
Mugak
- Ez du onartzen hodeiko plataformaren monitorizazioa (adibidez, AWS edo Azure);
- Ez dago erregistroen kudeaketa, bistaratzea, automatizazioa eta hirugarrenen zerbitzuekin integratzea.
MozDef (Mozilla Defentsa Plataforma)
Mozillaren MozDef SIEM sistema segurtasuneko gertakariak kudeatzeko prozesuak automatizatzeko erabiltzen da. Sistema oinarritik diseinatu da errendimendu, eskalagarritasun eta akatsen tolerantzia handiena lortzeko, mikrozerbitzuen arkitektura batekin - zerbitzu bakoitza Docker edukiontzi batean exekutatzen da.
OSSIM bezala, MozDef denboran probatutako kode irekiko proiektuetan eraikita dago, besteak beste, Elasticsearch log indexatzeko eta bilaketa-modulua, Web interfaze malgua eraikitzeko Meteor esparrua eta bistaratzeko eta marrazteko Kibana plugina.
Gertaeren korrelazioa eta alertak Elasticsearch kontsulta bat erabiliz egiten dira, Python erabiliz zure gertaeren kudeaketa eta alerta-arauak idazteko aukera emanez. Mozillaren arabera, MozDefek egunean 300 milioi gertaera baino gehiago kudea ditzake. MozDefek JSON formatuan soilik onartzen ditu gertaerak, baina hirugarrenen zerbitzuekin integrazioa dago.
Abantailak
- Ez ditu agenteak erabiltzen - JSON erregistro estandarrekin funtzionatzen du;
- Erraz eskala daiteke mikrozerbitzuen arkitekturari esker;
- Hodeiko zerbitzuen datu-iturriak onartzen ditu, besteak beste, AWS CloudTrail eta GuardDuty.
Mugak
- Sistema berria eta ez hain ezarria.
Wazuh
Wazuh OSSEC-en sardexka gisa hasi zen, kode irekiko SIEM ezagunenetako bat. Eta orain bere soluzio berezia da, funtzionalitate berriekin, akatsen konponketarekin eta arkitektura optimizatu batekin.
Sistema ElasticStack-en (Elasticsearch, Logstash, Kibana) eraikita dago eta agenteetan oinarritutako datuen bilketa eta sistemaren erregistroak sartzea onartzen du. Horrek eraginkorra egiten du erregistroak sortzen dituzten baina agenteen instalazioa onartzen ez duten gailuak monitorizatzeko: sareko gailuak, inprimagailuak eta periferikoak.
Wazuh-k lehendik dauden OSSEC agenteak onartzen ditu eta OSSEC-tik Wazuh-era migratzeko jarraibideak ere eskaintzen ditu. OSSEC oraindik aktiboki mantentzen den arren, Wazuh OSSECen jarraipena dela ikusten da, web interfaze berri bat, REST API, arau multzo osatuagoa eta beste hainbat hobekuntza gehitu direlako.
Abantailak
- SIEM OSSEC ezagunean oinarrituta eta bateragarria;
- Hainbat instalazio aukera onartzen ditu: Docker, Puppet, Chef, Ansible;
- Hodeiko zerbitzuen jarraipena onartzen du, AWS eta Azure barne;
- Eraso mota asko detektatzeko arau-multzo oso bat barne hartzen du eta PCI DSS v3.1 eta CISen arabera konparatzeko aukera ematen du.
- Splunk erregistroen biltegiratze eta analisi sistemarekin, gertaeren bistaratzearekin eta API laguntzarekin integratzen da.
Mugak
- Arkitektura konplexua - Wazuh zerbitzariaren osagaiez gain Elastic Stack inplementazio osoa behar du.
Preludioa OSS
Prelude OSS CS konpainia frantsesak garatutako Prelude SIEM komertzialen kode irekiko bertsioa da. Irtenbidea SIEM sistema modular malgu bat da, erregistro formatu asko onartzen dituena, hirugarrenen tresnekin integratzea, hala nola OSSEC, Snort eta Suricata sare detektatzeko sistema.
Gertaera bakoitza IDMEF mezu batean normalizatzen da, eta horrek beste sistemekin datu-trukea errazten du. Baina ukenduan euli bat ere badago - Prelude OSS errendimendu eta funtzionaltasun oso mugatua da Prelude SIEM-ren bertsio komertzialarekin alderatuta, eta proiektu txikietarako edo SIEM irtenbideak aztertzeko eta Prelude SIEM ebaluatzeko pentsatuta dago.
Abantailak
- Denbora-probatutako sistema 1998tik garatutakoa;
- Erregistro formatu ezberdin asko onartzen ditu;
- Datuak IMDEF formatura normalizatzen ditu, eta horrek datuak beste segurtasun sistemetara transferitzea errazten du.
Mugak
- Funtzionalitatean eta errendimenduan nabarmen mugatua kode irekiko beste SIEM sistemekin alderatuta.
sagan
Sagan errendimendu handiko SIEM bat da, Snort-ekin bateragarritasuna azpimarratzen duena. Snort-erako idatzitako arauak onartzeaz gain, Saganek Snort datu-basean idatz dezake eta Shuil interfazearekin ere erabil daiteke. Funtsean, hari anitzeko irtenbide arina da, funtzio berriak eskaintzen dituena Snort-eko erabiltzaileentzat atsegina izaten jarraitzen duen bitartean.
Abantailak
- Snort datu-basearekin, arauekin eta erabiltzailearen interfazearekin guztiz bateragarria;
- Hari anitzeko arkitekturak errendimendu handia eskaintzen du.
Mugak
- Proiektu gazte samarra komunitate txiki batekin;
- Instalazio prozesu konplexua, SIEM osoa sorburutik eraikitzea barne.
Ondorioa
Deskribatutako SIEM sistema bakoitzak bere ezaugarriak eta mugak ditu, beraz, ezin zaie edozein erakunderentzat irtenbide unibertsala deitu. Dena den, irtenbide hauek kode irekikoak dira, eta hedatu, probatu eta ebaluatu daitezke gehiegizko kosturik gabe.
Zer gehiago irakur dezakezu blogean?
β
β
β
β
β
Harpidetu gure -kanala, hurrengo artikulua ez galtzeko! Astean bitan baino gehiago ez dugu idazten eta negozioetan bakarrik.
Iturria: www.habr.com