ProHoster > وبلاگ > اداره > 5 سیستم مدیریت رویداد امنیتی منبع باز

5 سیستم مدیریت رویداد امنیتی منبع باز

5 سیستم مدیریت رویداد امنیتی منبع باز

یک افسر امنیت IT خوب با یک افسر عادی چه تفاوتی دارد؟ نه، نه به این دلیل که در هر زمان او تعداد پیام هایی را که مدیر ایگور دیروز برای همکارش ماریا ارسال کرد، از حافظه تلفن می کند. یک افسر امنیتی خوب سعی می کند تخلفات احتمالی را از قبل شناسایی کند و آنها را در زمان واقعی شناسایی کند و تمام تلاش خود را به کار می گیرد تا حادثه ادامه پیدا نکند. سیستم های مدیریت رویدادهای امنیتی (SIEM، از اطلاعات امنیتی و مدیریت رویداد) کار رفع سریع و مسدود کردن هرگونه تلاش برای نقض را بسیار ساده می کند.

به طور سنتی، سیستم های SIEM یک سیستم مدیریت امنیت اطلاعات و یک سیستم مدیریت رویداد امنیتی را ترکیب می کنند. یکی از ویژگی های مهم سیستم ها تجزیه و تحلیل رویدادهای امنیتی در زمان واقعی است که به شما امکان می دهد قبل از شروع آسیب های موجود به آنها پاسخ دهید.

وظایف اصلی سیستم های SIEM:

  • جمع آوری و عادی سازی داده ها
  • همبستگی داده ها
  • هشدار
  • پانل های تجسم
  • سازماندهی ذخیره سازی داده ها
  • جستجو و تجزیه و تحلیل داده ها
  • گزارش نویسی

دلایل تقاضای زیاد برای سیستم های SIEM

اخیراً پیچیدگی و هماهنگی حملات به سیستم های اطلاعاتی به شدت افزایش یافته است. در عین حال، مجموعه ابزارهای حفاظت از اطلاعات مورد استفاده نیز پیچیده تر می شود - سیستم های تشخیص نفوذ شبکه و میزبان، سیستم های DLP، سیستم های ضد ویروس و فایروال ها، اسکنرهای آسیب پذیری و غیره. هر ابزار حفاظتی جریانی از رویدادها را با جزئیات متفاوت تولید می کند و اغلب می توانید حمله را تنها با روی هم قرار دادن رویدادها از سیستم های مختلف مشاهده کنید.

چیزهای زیادی در مورد انواع سیستم های تجاری SIEM وجود دارد نوشته شده است، اما ما یک نمای کلی از سیستم های منبع باز کامل رایگان SIEM ارائه می دهیم که محدودیت مصنوعی در تعداد کاربران یا میزان داده های ذخیره شده دریافتی ندارند و همچنین به راحتی مقیاس پذیر و پشتیبانی می شوند. ما امیدواریم که این به ارزیابی پتانسیل چنین سیستم هایی و تصمیم گیری در مورد ادغام چنین راه حل هایی در فرآیندهای تجاری شرکت کمک کند.

AlienVault OSSIM

5 سیستم مدیریت رویداد امنیتی منبع باز

AlienVault OSSIM نسخه منبع باز AlienVault USM، یکی از پیشروترین سیستم های تجاری SIEM است. OSSIM یک چارچوب متشکل از چندین پروژه منبع باز است، از جمله سیستم تشخیص نفوذ شبکه Snort، سیستم نظارت بر شبکه و میزبان Nagios، سیستم تشخیص نفوذ میزبان OSSEC و اسکنر آسیب پذیری OpenVAS.

مانیتورینگ دستگاه از AlienVault Agent استفاده می‌کند که گزارش‌ها را از میزبان در قالب syslog به پلتفرم GELF ارسال می‌کند، یا می‌توان از یک افزونه برای ادغام با سرویس‌های شخص ثالث، مانند سرویس پروکسی معکوس وب‌سایت Cloudflare یا سیستم احراز هویت چند عاملی Okta استفاده کرد. .

نسخه USM از نظر مدیریت گزارش پیشرفته، نظارت بر زیرساخت ابری، اتوماسیون، و اطلاعات به‌روز و تجسم تهدید با OSSIM متفاوت است.

مزایا

  • ساخته شده بر روی پروژه های منبع باز اثبات شده؛
  • جامعه بزرگی از کاربران و توسعه دهندگان.

محدودیت ها

  • از نظارت بر پلتفرم ابری (مانند AWS یا Azure) پشتیبانی نمی کند.
  • هیچ مدیریت لاگ، تجسم، اتوماسیون و ادغام با خدمات شخص ثالث وجود ندارد.

منبع

MozDef (پلتفرم دفاعی موزیلا)

5 سیستم مدیریت رویداد امنیتی منبع باز

سیستم MozDef SIEM موزیلا برای خودکارسازی فرآیندهای رسیدگی به حوادث امنیتی استفاده می شود. این سیستم از ابتدا برای حداکثر کارایی، مقیاس پذیری و تحمل خطا، با معماری میکروسرویس طراحی شده است - هر سرویس در یک ظرف Docker اجرا می شود.

مانند OSSIM، MozDef بر روی پروژه های منبع باز آزمایش شده با زمان ساخته شده است، از جمله ماژول فهرست بندی و جستجوی گزارش Elasticsearch، چارچوب Meteor برای ایجاد یک رابط وب انعطاف پذیر، و پلاگین Kibana برای تجسم و ترسیم نقشه.

همبستگی و هشدار رویداد با استفاده از یک کوئری Elasticsearch انجام می شود و به شما امکان می دهد قوانین مدیریت رویداد و هشدار خود را با استفاده از پایتون بنویسید. طبق گفته موزیلا، MozDef می تواند بیش از 300 میلیون رویداد را در روز مدیریت کند. MozDef فقط رویدادها را در قالب JSON می پذیرد، اما یکپارچه سازی با خدمات شخص ثالث وجود دارد.

مزایا

  • از عوامل استفاده نمی کند - با گزارش های استاندارد JSON کار می کند.
  • به لطف معماری میکروسرویس به راحتی مقیاس پذیر است.
  • از منابع داده سرویس ابری از جمله AWS CloudTrail و GuardDuty پشتیبانی می کند.

محدودیت ها

  • یک سیستم جدید و کمتر تثبیت شده.

منبع

Wazuh

5 سیستم مدیریت رویداد امنیتی منبع باز

Wazuh به عنوان یک فورک OSSEC، یکی از محبوب ترین SIEM های منبع باز، شروع به کار کرد. و اکنون راه حل منحصر به فرد خود با عملکرد جدید، رفع اشکالات و معماری بهینه شده است.

این سیستم بر روی ElasticStack (Elasticsearch، Logstash، Kibana) ساخته شده است و از جمع‌آوری داده‌های مبتنی بر عامل و ورود گزارش سیستم پشتیبانی می‌کند. این امر آن را برای نظارت بر دستگاه‌هایی که گزارش تولید می‌کنند اما از نصب عامل پشتیبانی نمی‌کنند - دستگاه‌های شبکه، چاپگرها و لوازم جانبی مؤثر می‌سازد.

Wazuh از عوامل موجود OSSEC پشتیبانی می کند و حتی راهنمایی هایی را برای مهاجرت از OSSEC به Wazuh ارائه می دهد. اگرچه OSSEC هنوز به طور فعال حفظ می شود، Wazuh به دلیل اضافه شدن یک رابط وب جدید، REST API، مجموعه قوانین کامل تر و بسیاری از پیشرفت های دیگر به عنوان ادامه OSSEC دیده می شود.

مزایا

  • بر اساس و سازگار با محبوب SIEM OSSEC.
  • پشتیبانی از گزینه های نصب مختلف: Docker، Puppet، Chef، Ansible.
  • پشتیبانی از نظارت بر خدمات ابری، از جمله AWS و Azure.
  • شامل مجموعه ای جامع از قوانین برای شناسایی بسیاری از انواع حملات است و امکان مقایسه آنها را مطابق با PCI DSS v3.1 و CIS فراهم می کند.
  • با سیستم ذخیره سازی و تجزیه و تحلیل گزارش Splunk، تجسم رویداد و پشتیبانی API یکپارچه می شود.

محدودیت ها

  • معماری پیچیده - به استقرار کامل Elastic Stack علاوه بر اجزای سرور Wazuh نیاز دارد.

منبع

سیستم عامل Prelude

5 سیستم مدیریت رویداد امنیتی منبع باز

Prelude OSS یک نسخه منبع باز از Prelude SIEM تجاری است که توسط شرکت فرانسوی CS توسعه یافته است. راه حل یک سیستم SIEM مدولار انعطاف پذیر است که از بسیاری از فرمت های گزارش، ادغام با ابزارهای شخص ثالث مانند OSSEC، Snort و سیستم تشخیص شبکه Suricata پشتیبانی می کند.

هر رویداد به یک پیام IDMEF عادی می شود، که تبادل داده با سیستم های دیگر را ساده می کند. اما یک مگس نیز وجود دارد - Prelude OSS در عملکرد و عملکرد در مقایسه با نسخه تجاری Prelude SIEM بسیار محدود است و بیشتر برای پروژه های کوچک یا برای مطالعه راه حل های SIEM و ارزیابی Prelude SIEM در نظر گرفته شده است.

مزایا

  • سیستم تست شده از سال 1998 توسعه یافته است.
  • پشتیبانی از بسیاری از فرمت های ورود به سیستم.
  • داده ها را به فرمت IMDEF عادی می کند، که انتقال داده ها به سایر سیستم های امنیتی را آسان می کند.

محدودیت ها

  • در مقایسه با سایر سیستم‌های منبع باز SIEM، به طور قابل توجهی از نظر عملکرد و عملکرد محدود است.

منبع

ساگان

5 سیستم مدیریت رویداد امنیتی منبع باز

Sagan یک SIEM با کارایی بالا است که بر سازگاری با Snort تاکید دارد. ساگان علاوه بر پشتیبانی از قوانین نوشته شده برای Snort می تواند در پایگاه داده Snort بنویسد و حتی می تواند با رابط Shuil استفاده شود. اساسا، این یک راه حل سبک وزن و چند رشته ای است که ویژگی های جدیدی را ارائه می دهد و در عین حال برای کاربران Snort دوستانه باقی می ماند.

مزایا

  • کاملاً با پایگاه داده، قوانین و رابط کاربری Snort سازگار است.
  • معماری چند رشته ای عملکرد بالایی را ارائه می دهد.

محدودیت ها

  • پروژه نسبتاً جوان با جامعه کوچک؛
  • یک فرآیند نصب پیچیده، شامل ساخت کل SIEM از منبع.

منبع

نتیجه

هر یک از سیستم های SIEM توصیف شده دارای ویژگی ها و محدودیت های خاص خود است، بنابراین نمی توان آنها را یک راه حل جهانی برای هر سازمانی نامید. با این حال، این راه‌حل‌ها منبع باز هستند و به آن‌ها اجازه می‌دهند بدون تحمیل هزینه‌های بیش از حد، استقرار، آزمایش و ارزیابی شوند.

چه چیز دیگری می توانید در وبلاگ بخوانید؟ Cloud4Y

VNIITE کل سیاره: چگونه سیستم "خانه هوشمند" در اتحاد جماهیر شوروی اختراع شد
چگونه رابط های عصبی به بشریت کمک می کنند
بیمه سایبری در بازار روسیه
چراغ ها، دوربین ... ابر: چگونه ابرها صنعت فیلم را تغییر می دهند
فوتبال در ابرها - مد یا ضرورت؟

مشترک ما شوید تلگرام-کانال، تا مقاله بعدی را از دست ندهید! ما بیش از دو بار در هفته نمی نویسیم و فقط به صورت تجاری.

منبع: www.habr.com