یک افسر امنیت IT خوب با یک افسر عادی چه تفاوتی دارد؟ نه، نه به این دلیل که در هر زمان او تعداد پیام هایی را که مدیر ایگور دیروز برای همکارش ماریا ارسال کرد، از حافظه تلفن می کند. یک افسر امنیتی خوب سعی می کند تخلفات احتمالی را از قبل شناسایی کند و آنها را در زمان واقعی شناسایی کند و تمام تلاش خود را به کار می گیرد تا حادثه ادامه پیدا نکند. سیستم های مدیریت رویدادهای امنیتی (SIEM، از اطلاعات امنیتی و مدیریت رویداد) کار رفع سریع و مسدود کردن هرگونه تلاش برای نقض را بسیار ساده می کند.
به طور سنتی، سیستم های SIEM یک سیستم مدیریت امنیت اطلاعات و یک سیستم مدیریت رویداد امنیتی را ترکیب می کنند. یکی از ویژگی های مهم سیستم ها تجزیه و تحلیل رویدادهای امنیتی در زمان واقعی است که به شما امکان می دهد قبل از شروع آسیب های موجود به آنها پاسخ دهید.
وظایف اصلی سیستم های SIEM:
- جمع آوری و عادی سازی داده ها
- همبستگی داده ها
- هشدار
- پانل های تجسم
- سازماندهی ذخیره سازی داده ها
- جستجو و تجزیه و تحلیل داده ها
- گزارش نویسی
دلایل تقاضای زیاد برای سیستم های SIEM
اخیراً پیچیدگی و هماهنگی حملات به سیستم های اطلاعاتی به شدت افزایش یافته است. در عین حال، مجموعه ابزارهای حفاظت از اطلاعات مورد استفاده نیز پیچیده تر می شود - سیستم های تشخیص نفوذ شبکه و میزبان، سیستم های DLP، سیستم های ضد ویروس و فایروال ها، اسکنرهای آسیب پذیری و غیره. هر ابزار حفاظتی جریانی از رویدادها را با جزئیات متفاوت تولید می کند و اغلب می توانید حمله را تنها با روی هم قرار دادن رویدادها از سیستم های مختلف مشاهده کنید.
چیزهای زیادی در مورد انواع سیستم های تجاری SIEM وجود دارد
AlienVault OSSIM
AlienVault OSSIM نسخه منبع باز AlienVault USM، یکی از پیشروترین سیستم های تجاری SIEM است. OSSIM یک چارچوب متشکل از چندین پروژه منبع باز است، از جمله سیستم تشخیص نفوذ شبکه Snort، سیستم نظارت بر شبکه و میزبان Nagios، سیستم تشخیص نفوذ میزبان OSSEC و اسکنر آسیب پذیری OpenVAS.
مانیتورینگ دستگاه از AlienVault Agent استفاده میکند که گزارشها را از میزبان در قالب syslog به پلتفرم GELF ارسال میکند، یا میتوان از یک افزونه برای ادغام با سرویسهای شخص ثالث، مانند سرویس پروکسی معکوس وبسایت Cloudflare یا سیستم احراز هویت چند عاملی Okta استفاده کرد. .
نسخه USM از نظر مدیریت گزارش پیشرفته، نظارت بر زیرساخت ابری، اتوماسیون، و اطلاعات بهروز و تجسم تهدید با OSSIM متفاوت است.
مزایا
- ساخته شده بر روی پروژه های منبع باز اثبات شده؛
- جامعه بزرگی از کاربران و توسعه دهندگان.
محدودیت ها
- از نظارت بر پلتفرم ابری (مانند AWS یا Azure) پشتیبانی نمی کند.
- هیچ مدیریت لاگ، تجسم، اتوماسیون و ادغام با خدمات شخص ثالث وجود ندارد.
MozDef (پلتفرم دفاعی موزیلا)
سیستم MozDef SIEM موزیلا برای خودکارسازی فرآیندهای رسیدگی به حوادث امنیتی استفاده می شود. این سیستم از ابتدا برای حداکثر کارایی، مقیاس پذیری و تحمل خطا، با معماری میکروسرویس طراحی شده است - هر سرویس در یک ظرف Docker اجرا می شود.
مانند OSSIM، MozDef بر روی پروژه های منبع باز آزمایش شده با زمان ساخته شده است، از جمله ماژول فهرست بندی و جستجوی گزارش Elasticsearch، چارچوب Meteor برای ایجاد یک رابط وب انعطاف پذیر، و پلاگین Kibana برای تجسم و ترسیم نقشه.
همبستگی و هشدار رویداد با استفاده از یک کوئری Elasticsearch انجام می شود و به شما امکان می دهد قوانین مدیریت رویداد و هشدار خود را با استفاده از پایتون بنویسید. طبق گفته موزیلا، MozDef می تواند بیش از 300 میلیون رویداد را در روز مدیریت کند. MozDef فقط رویدادها را در قالب JSON می پذیرد، اما یکپارچه سازی با خدمات شخص ثالث وجود دارد.
مزایا
- از عوامل استفاده نمی کند - با گزارش های استاندارد JSON کار می کند.
- به لطف معماری میکروسرویس به راحتی مقیاس پذیر است.
- از منابع داده سرویس ابری از جمله AWS CloudTrail و GuardDuty پشتیبانی می کند.
محدودیت ها
- یک سیستم جدید و کمتر تثبیت شده.
Wazuh
Wazuh به عنوان یک فورک OSSEC، یکی از محبوب ترین SIEM های منبع باز، شروع به کار کرد. و اکنون راه حل منحصر به فرد خود با عملکرد جدید، رفع اشکالات و معماری بهینه شده است.
این سیستم بر روی ElasticStack (Elasticsearch، Logstash، Kibana) ساخته شده است و از جمعآوری دادههای مبتنی بر عامل و ورود گزارش سیستم پشتیبانی میکند. این امر آن را برای نظارت بر دستگاههایی که گزارش تولید میکنند اما از نصب عامل پشتیبانی نمیکنند - دستگاههای شبکه، چاپگرها و لوازم جانبی مؤثر میسازد.
Wazuh از عوامل موجود OSSEC پشتیبانی می کند و حتی راهنمایی هایی را برای مهاجرت از OSSEC به Wazuh ارائه می دهد. اگرچه OSSEC هنوز به طور فعال حفظ می شود، Wazuh به دلیل اضافه شدن یک رابط وب جدید، REST API، مجموعه قوانین کامل تر و بسیاری از پیشرفت های دیگر به عنوان ادامه OSSEC دیده می شود.
مزایا
- بر اساس و سازگار با محبوب SIEM OSSEC.
- پشتیبانی از گزینه های نصب مختلف: Docker، Puppet، Chef، Ansible.
- پشتیبانی از نظارت بر خدمات ابری، از جمله AWS و Azure.
- شامل مجموعه ای جامع از قوانین برای شناسایی بسیاری از انواع حملات است و امکان مقایسه آنها را مطابق با PCI DSS v3.1 و CIS فراهم می کند.
- با سیستم ذخیره سازی و تجزیه و تحلیل گزارش Splunk، تجسم رویداد و پشتیبانی API یکپارچه می شود.
محدودیت ها
- معماری پیچیده - به استقرار کامل Elastic Stack علاوه بر اجزای سرور Wazuh نیاز دارد.
سیستم عامل Prelude
Prelude OSS یک نسخه منبع باز از Prelude SIEM تجاری است که توسط شرکت فرانسوی CS توسعه یافته است. راه حل یک سیستم SIEM مدولار انعطاف پذیر است که از بسیاری از فرمت های گزارش، ادغام با ابزارهای شخص ثالث مانند OSSEC، Snort و سیستم تشخیص شبکه Suricata پشتیبانی می کند.
هر رویداد به یک پیام IDMEF عادی می شود، که تبادل داده با سیستم های دیگر را ساده می کند. اما یک مگس نیز وجود دارد - Prelude OSS در عملکرد و عملکرد در مقایسه با نسخه تجاری Prelude SIEM بسیار محدود است و بیشتر برای پروژه های کوچک یا برای مطالعه راه حل های SIEM و ارزیابی Prelude SIEM در نظر گرفته شده است.
مزایا
- سیستم تست شده از سال 1998 توسعه یافته است.
- پشتیبانی از بسیاری از فرمت های ورود به سیستم.
- داده ها را به فرمت IMDEF عادی می کند، که انتقال داده ها به سایر سیستم های امنیتی را آسان می کند.
محدودیت ها
- در مقایسه با سایر سیستمهای منبع باز SIEM، به طور قابل توجهی از نظر عملکرد و عملکرد محدود است.
ساگان
Sagan یک SIEM با کارایی بالا است که بر سازگاری با Snort تاکید دارد. ساگان علاوه بر پشتیبانی از قوانین نوشته شده برای Snort می تواند در پایگاه داده Snort بنویسد و حتی می تواند با رابط Shuil استفاده شود. اساسا، این یک راه حل سبک وزن و چند رشته ای است که ویژگی های جدیدی را ارائه می دهد و در عین حال برای کاربران Snort دوستانه باقی می ماند.
مزایا
- کاملاً با پایگاه داده، قوانین و رابط کاربری Snort سازگار است.
- معماری چند رشته ای عملکرد بالایی را ارائه می دهد.
محدودیت ها
- پروژه نسبتاً جوان با جامعه کوچک؛
- یک فرآیند نصب پیچیده، شامل ساخت کل SIEM از منبع.
نتیجه
هر یک از سیستم های SIEM توصیف شده دارای ویژگی ها و محدودیت های خاص خود است، بنابراین نمی توان آنها را یک راه حل جهانی برای هر سازمانی نامید. با این حال، این راهحلها منبع باز هستند و به آنها اجازه میدهند بدون تحمیل هزینههای بیش از حد، استقرار، آزمایش و ارزیابی شوند.
چه چیز دیگری می توانید در وبلاگ بخوانید؟
→
→
→
→
→
مشترک ما شوید
منبع: www.habr.com