Miten hyvä tietoturvapäällikkö eroaa tavallisesta? Ei, ei sillä, että hän milloin tahansa soittaa muistista monta viestiä, jonka johtaja Igor lähetti eilen kollegalleen Marialle. Hyvä turvapäällikkö yrittää tunnistaa mahdolliset rikkomukset etukäteen ja saada ne kiinni reaaliajassa, tehden kaikkensa, jotta tapaukselle ei tule jatkoa. Turvatapahtumien hallintajärjestelmät (SIEM, Security information and event management) yksinkertaistavat huomattavasti mahdollisten rikkomusyritysten nopeaa korjaamista ja estämistä.
Perinteisesti SIEM-järjestelmissä yhdistyvät tietoturvan hallintajärjestelmä ja turvallisuustapahtumien hallintajärjestelmä. Tärkeä ominaisuus järjestelmissä on tietoturvatapahtumien analysointi reaaliajassa, jolloin niihin voidaan reagoida ennen olemassa olevien vahinkojen syntymistä.
SIEM-järjestelmien päätehtävät:
- Tiedonkeruu ja normalisointi
- Tietojen korrelaatio
- Varoitus
- Visualisointipaneelit
- Tietojen tallennuksen organisointi
- Tietojen haku ja analysointi
- raportointi
Syitä SIEM-järjestelmien suureen kysyntään
Viime aikoina tietojärjestelmiin kohdistuvien hyökkäysten monimutkaisuus ja koordinointi ovat lisääntyneet huomattavasti. Samaan aikaan myös käytettävien tietojen suojaustyökalujen kokonaisuus on yhä monimutkaisempi - verkko- ja isäntätunkeutumisen havaitsemisjärjestelmät, DLP-järjestelmät, virustorjuntajärjestelmät ja palomuurit, haavoittuvuustarkistimet ja niin edelleen. Jokainen suojaustyökalu luo tapahtumavirran erilaisilla yksityiskohdilla, ja usein voit nähdä hyökkäyksen vain asettamalla tapahtumia eri järjestelmistä.
Kaikenlaisissa kaupallisissa SIEM-järjestelmissä on paljon asioita , mutta tarjoamme lyhyen yleiskatsauksen ilmaisista täysimittaisista avoimen lähdekoodin SIEM-järjestelmistä, joissa ei ole keinotekoisia rajoituksia käyttäjien lukumäärälle tai vastaanotetun tallennetun tiedon määrälle ja jotka ovat myös helposti skaalautuvia ja tuettuja. Toivomme tämän auttavan arvioimaan tällaisten järjestelmien potentiaalia ja päättämään, integroidaanko tällaiset ratkaisut yrityksen liiketoimintaprosesseihin.
AlienVault OSSIM
AlienVault OSSIM on avoimen lähdekoodin versio AlienVault USM:stä, joka on yksi johtavista kaupallisista SIEM-järjestelmistä. OSSIM on kehys, joka koostuu useista avoimen lähdekoodin projekteista, mukaan lukien Snort-verkon tunkeutumisen havainnointijärjestelmä, Nagios-verkko- ja isäntävalvontajärjestelmä, OSSEC-isäntätunkeutumisen havaitsemisjärjestelmä ja OpenVAS-haavoittuvuustarkistus.
Laitteen valvonta käyttää AlienVault Agent -agenttia, joka lähettää lokit isännästä syslog-muodossa GELF-alustalle, tai laajennuksella voidaan integroida kolmannen osapuolen palveluihin, kuten Cloudflaren verkkosivujen käänteiseen välityspalvelimeen tai Oktan monitekijäiseen todennusjärjestelmään. .
USM-versio eroaa OSSIM:stä tehostetussa lokinhallinnassa, pilviinfrastruktuurin valvonnassa, automaatiossa sekä ajan tasalla uhkatiedoissa ja visualisoinnissa.
Edut
- Rakennettu todistetuille avoimen lähdekoodin projekteille;
- Suuri käyttäjien ja kehittäjien yhteisö.
Rajoitukset
- Ei tue pilvialustan seurantaa (kuten AWS tai Azure);
- Lokien hallintaa, visualisointia, automatisointia ja integrointia kolmannen osapuolen palveluihin ei ole.
MozDef (Mozilla Defense Platform)
Mozillan MozDef SIEM -järjestelmää käytetään turvahäiriöiden käsittelyprosessien automatisointiin. Järjestelmä on suunniteltu alusta alkaen maksimaalista suorituskykyä, skaalautuvuutta ja vikasietoisuutta varten mikropalveluarkkitehtuurilla - jokainen palvelu toimii Docker-säiliössä.
Kuten OSSIM, MozDef on rakennettu aika-testatuille avoimen lähdekoodin projekteille, mukaan lukien Elasticsearch-lokin indeksointi- ja hakumoduuli, Meteor-kehys joustavan verkkoliittymän rakentamiseen sekä Kibana-laajennus visualisointiin ja piirtämiseen.
Tapahtumakorrelaatio ja hälytykset tehdään Elasticsearch-kyselyllä, jolloin voit kirjoittaa omia tapahtumien käsittely- ja hälytyssääntöjä Pythonilla. Mozillan mukaan MozDef pystyy käsittelemään yli 300 miljoonaa tapahtumaa päivässä. MozDef hyväksyy tapahtumat vain JSON-muodossa, mutta se on integroitu kolmannen osapuolen palveluihin.
Edut
- Ei käytä agentteja - toimii tavallisten JSON-lokien kanssa;
- Helposti skaalautuva mikropalveluarkkitehtuurin ansiosta;
- Tukee pilvipalvelun tietolähteitä, mukaan lukien AWS CloudTrail ja GuardDuty.
Rajoitukset
- Uusi ja vähemmän vakiintunut järjestelmä.
Wazuh
Wazuh aloitti OSSEC:n haarukkana, joka on yksi suosituimmista avoimen lähdekoodin SIEMeista. Ja nyt se on oma ainutlaatuinen ratkaisunsa, jossa on uusia toimintoja, virheenkorjauksia ja optimoitu arkkitehtuuri.
Järjestelmä on rakennettu ElasticStackille (Elasticsearch, Logstash, Kibana) ja tukee sekä agenttipohjaista tiedonkeruuta että järjestelmän lokien käsittelyä. Tämä tekee siitä tehokkaan sellaisten laitteiden valvontaan, jotka luovat lokeja, mutta eivät tue agentin asennusta – verkkolaitteet, tulostimet ja oheislaitteet.
Wazuh tukee olemassa olevia OSSEC-agentteja ja jopa antaa ohjeita siirtymiseen OSSEC:stä Wazuhiin. Vaikka OSSEC:tä ylläpidetään edelleen aktiivisesti, Wazuhia pidetään OSSEC:n jatkona, koska siihen on lisätty uusi verkkokäyttöliittymä, REST API, kattavampi sääntösarja ja monia muita parannuksia.
Edut
- Perustuu suosittuun SIEM OSSECiin ja sen kanssa yhteensopiva;
- Tukee erilaisia asennusvaihtoehtoja: Docker, Puppet, Chef, Ansible;
- Tukee pilvipalvelujen seurantaa, mukaan lukien AWS ja Azure;
- Sisältää kattavan joukon sääntöjä monenlaisten hyökkäysten havaitsemiseksi ja mahdollistaa niiden vertailun PCI DSS v3.1:n ja CIS:n mukaisesti.
- Integroituu Splunk-lokin tallennus- ja analysointijärjestelmään, tapahtumien visualisointiin ja API-tukeen.
Rajoitukset
- Monimutkainen arkkitehtuuri - Vaatii täyden elastisen pinon käyttöönoton Wazuh-palvelinkomponenttien lisäksi.
Alkusoitto OSS
Prelude OSS on avoimen lähdekoodin versio kaupallisesta Prelude SIEM:stä, jonka on kehittänyt ranskalainen yritys CS. Ratkaisu on joustava modulaarinen SIEM-järjestelmä, joka tukee monia lokimuotoja, integrointia kolmansien osapuolien työkaluihin, kuten OSSEC, Snort ja Suricata-verkkotunnistusjärjestelmä.
Jokainen tapahtuma normalisoidaan IDMEF-viestiksi, mikä yksinkertaistaa tiedonvaihtoa muiden järjestelmien kanssa. Mutta on myös kärpänen - Prelude OSS on suorituskyvyltään ja toiminnaltaan hyvin rajallinen verrattuna Prelude SIEM:n kaupalliseen versioon, ja se on tarkoitettu enemmän pieniin projekteihin tai SIEM-ratkaisujen tutkimiseen ja Prelude SIEM:n arviointiin.
Edut
- Aika-testattu järjestelmä, kehitetty vuodesta 1998;
- Tukee monia erilaisia lokimuotoja;
- Normalisoi tiedot IMDEF-muotoon, mikä helpottaa tietojen siirtämistä muihin turvajärjestelmiin.
Rajoitukset
- Huomattavasti rajoitettu toiminnallisuus ja suorituskyky verrattuna muihin avoimen lähdekoodin SIEM-järjestelmiin.
Sagan
Sagan on korkean suorituskyvyn SIEM, joka korostaa yhteensopivuutta Snortin kanssa. Snortille kirjoitettujen tukisääntöjen lisäksi Sagan voi kirjoittaa Snort-tietokantaan ja sitä voidaan käyttää jopa Shuil-käyttöliittymän kanssa. Pohjimmiltaan se on kevyt, monisäikeinen ratkaisu, joka tarjoaa uusia ominaisuuksia ja pysyy ystävällisenä Snort-käyttäjille.
Edut
- Täysin yhteensopiva Snort-tietokannan, sääntöjen ja käyttöliittymän kanssa;
- Monisäikeinen arkkitehtuuri tarjoaa korkean suorituskyvyn.
Rajoitukset
- Suhteellisen nuori projekti pienellä yhteisöllä;
- Monimutkainen asennusprosessi, johon kuuluu koko SIEM:n rakentaminen lähteestä.
Johtopäätös
Jokaisella kuvatuilla SIEM-järjestelmillä on omat ominaisuutensa ja rajoituksensa, joten niitä ei voida kutsua universaaliksi ratkaisuksi millekään organisaatiolle. Nämä ratkaisut ovat kuitenkin avoimen lähdekoodin, joten ne voidaan ottaa käyttöön, testata ja arvioida ilman liiallisia kustannuksia.
Mitä muuta voit lukea blogista?
→
→
→
→
→
Tilaa meidän -kanava, jotta et missaa seuraavaa artikkelia! Kirjoitamme korkeintaan kaksi kertaa viikossa ja vain työasioissa.
Lähde: will.com