En quoi un bon responsable de la sécurité informatique diffère-t-il d'un responsable régulier ? Non, pas par le fait qu'à tout moment il appellera de mémoire le nombre de messages que le manager Igor a envoyés hier à sa collègue Maria. Un bon agent de sécurité essaie d'identifier à l'avance d'éventuelles violations et de les détecter en temps réel, en mettant tout en œuvre pour qu'il n'y ait pas de continuation de l'incident. Les systèmes de gestion des événements de sécurité (SIEM, de Security information and event management) simplifient grandement la tâche de réparer et de bloquer rapidement toute tentative de violation.
Traditionnellement, les systèmes SIEM combinent un système de gestion de la sécurité de l'information et un système de gestion des événements de sécurité. Une caractéristique importante des systèmes est l'analyse des événements de sécurité en temps réel, ce qui vous permet d'y répondre avant l'apparition de dommages existants.
Les principales tâches des systèmes SIEM :
- Collecte et normalisation des données
- Corrélation des données
- Alerte
- Panneaux de visualisation
- Organisation du stockage des données
- Recherche et analyse de données
- Rapports
Raisons de la forte demande de systèmes SIEM
Récemment, la complexité et la coordination des attaques sur les systèmes d'information ont fortement augmenté. Dans le même temps, le complexe d'outils de protection des informations utilisés devient également plus complexe - systèmes de détection d'intrusion sur le réseau et l'hôte, systèmes DLP, systèmes antivirus et pare-feu, scanners de vulnérabilité, etc. Chaque outil de protection génère un flux d'événements avec des détails différents, et souvent vous ne pouvez voir une attaque qu'en superposant les événements de différents systèmes.
Il y a beaucoup de choses à propos de toutes sortes de systèmes SIEM commerciaux , mais nous offrons un bref aperçu des systèmes SIEM open source à part entière gratuits qui n'ont pas de restrictions artificielles sur le nombre d'utilisateurs ou la quantité de données stockées reçues, et sont également facilement évolutifs et pris en charge. Nous espérons que cela aidera à évaluer le potentiel de tels systèmes et à décider s'il convient d'intégrer ces solutions dans les processus commerciaux de l'entreprise.
AlienVault OSSIM
AlienVault OSSIM est la version open source d'AlienVault USM, l'un des principaux systèmes SIEM commerciaux. OSSIM est un cadre composé de plusieurs projets open source, notamment le système de détection d'intrusion réseau Snort, le système de surveillance réseau et hôte Nagios, le système de détection d'intrusion hôte OSSEC et le scanner de vulnérabilité OpenVAS.
La surveillance des appareils utilise AlienVault Agent, qui envoie les journaux de l'hôte au format syslog à la plate-forme GELF, ou un plug-in peut être utilisé pour s'intégrer à des services tiers, tels que le service de proxy inverse du site Web de Cloudflare ou le système d'authentification multifacteur d'Okta. .
La version USM diffère d'OSSIM par la gestion améliorée des journaux, la surveillance de l'infrastructure cloud, l'automatisation et les informations et visualisation à jour sur les menaces.
avantages
- Construit sur des projets open source éprouvés ;
- Grande communauté d'utilisateurs et de développeurs.
Limites
- Ne prend pas en charge la surveillance de la plate-forme cloud (telle qu'AWS ou Azure) ;
- Il n'y a pas de gestion des journaux, de visualisation, d'automatisation et d'intégration avec des services tiers.
MozDef (plate-forme de défense Mozilla)
Le système MozDef SIEM de Mozilla est utilisé pour automatiser les processus de gestion des incidents de sécurité. Le système est conçu dès le départ pour des performances, une évolutivité et une tolérance aux pannes maximales, avec une architecture de microservices - chaque service s'exécute dans un conteneur Docker.
Comme OSSIM, MozDef est construit sur des projets open source éprouvés, notamment le module d'indexation et de recherche de journaux Elasticsearch, le framework Meteor pour créer une interface Web flexible et le plug-in Kibana pour la visualisation et le traçage.
La corrélation et l'alerte des événements sont effectuées à l'aide d'une requête Elasticsearch, ce qui vous permet d'écrire vos propres règles de gestion des événements et d'alerte à l'aide de Python. Selon Mozilla, MozDef peut gérer plus de 300 millions d'événements par jour. MozDef n'accepte que les événements au format JSON, mais il existe une intégration avec des services tiers.
avantages
- N'utilise pas d'agents - fonctionne avec les journaux JSON standard ;
- Facilement évolutif grâce à l'architecture microservice ;
- Prend en charge les sources de données de service cloud, notamment AWS CloudTrail et GuardDuty.
Limites
- Un système nouveau et moins établi.
Wazuh
Wazuh a commencé comme un fork d'OSSEC, l'un des SIEM open source les plus populaires. Et maintenant, c'est sa propre solution unique avec de nouvelles fonctionnalités, des corrections de bogues et une architecture optimisée.
Le système est basé sur ElasticStack (Elasticsearch, Logstash, Kibana) et prend en charge à la fois la collecte de données basée sur des agents et l'ingestion de journaux système. Cela le rend efficace pour surveiller les périphériques qui génèrent des journaux mais ne prennent pas en charge l'installation d'agents - périphériques réseau, imprimantes et périphériques.
Wazuh prend en charge les agents OSSEC existants et fournit même des conseils sur la migration d'OSSEC vers Wazuh. Bien qu'OSSEC soit toujours activement maintenu, Wazuh est considéré comme une continuation d'OSSEC en raison de l'ajout d'une nouvelle interface Web, d'une API REST, d'un ensemble de règles plus complet et de nombreuses autres améliorations.
avantages
- Basé sur et compatible avec le populaire SIEM OSSEC ;
- Prend en charge diverses options d'installation : Docker, Puppet, Chef, Ansible ;
- Prend en charge la surveillance des services cloud, y compris AWS et Azure ;
- Inclut un ensemble complet de règles pour détecter de nombreux types d'attaques et permet de les comparer conformément aux normes PCI DSS v3.1 et CIS.
- S'intègre au système de stockage et d'analyse des journaux Splunk, à la visualisation des événements et à la prise en charge de l'API.
Limites
- Architecture complexe - Nécessite un déploiement complet d'Elastic Stack en plus des composants du serveur Wazuh.
Prélude OSS
Prelude OSS est une version open source du Prelude SIEM commercial développé par la société française CS. La solution est un système SIEM modulaire flexible qui prend en charge de nombreux formats de journal, l'intégration avec des outils tiers tels que OSSEC, Snort et le système de détection de réseau Suricata.
Chaque événement est normalisé dans un message IDMEF, ce qui simplifie l'échange de données avec d'autres systèmes. Mais il y a aussi une mouche dans la pommade - Prelude OSS est très limité en performances et fonctionnalités par rapport à la version commerciale de Prelude SIEM, et est plutôt destiné aux petits projets ou à l'étude de solutions SIEM et à l'évaluation de Prelude SIEM.
avantages
- Système éprouvé développé depuis 1998 ;
- Prend en charge de nombreux formats de journaux différents ;
- Normalise les données au format IMDEF, ce qui facilite le transfert de données vers d'autres systèmes de sécurité.
Limites
- Fonctionnalités et performances considérablement limitées par rapport aux autres systèmes SIEM open source.
Sagan
Sagan est un SIEM haute performance qui met l'accent sur la compatibilité avec Snort. En plus de prendre en charge les règles écrites pour Snort, Sagan peut écrire dans la base de données Snort et peut même être utilisé avec l'interface Shuil. Fondamentalement, il s'agit d'une solution légère et multithread qui offre de nouvelles fonctionnalités tout en restant conviviale pour les utilisateurs de Snort.
avantages
- Entièrement compatible avec la base de données, les règles et l'interface utilisateur de Snort ;
- L'architecture multithread offre des performances élevées.
Limites
- Projet relativement jeune avec une petite communauté;
- Un processus d'installation complexe, y compris la construction de l'intégralité du SIEM à partir de la source.
Conclusion
Chacun des systèmes SIEM décrits a ses propres caractéristiques et limites, ils ne peuvent donc pas être qualifiés de solution universelle pour n'importe quelle organisation. Cependant, ces solutions sont open-source, ce qui leur permet d'être déployées, testées et évaluées sans encourir de coûts excessifs.
Que pouvez-vous lire d'autre sur le blog ?
→
→
→
→
→
Abonnez-vous à notre -channel, pour ne pas rater le prochain article ! Nous n'écrivons pas plus de deux fois par semaine et uniquement pour affaires.
Source: habr.com