Cén difríocht atá idir speisialtóir slándála TF maith agus speisialtóir? Ní hea, toisc gur féidir leis ag aon am ar leith líon na dteachtaireachtaí a sheol an bainisteoir Igor inné chuig a chomhghleacaí Maria a ainmniú ó chuimhne. Déanann speisialtóir slándála maith iarracht sáruithe féideartha a aithint roimh ré agus iad a ghabháil i bhfíor-am, ag déanamh gach iarracht a chinntiú nach leanann an teagmhas ar aghaidh. Simplíonn córais bhainistíochta imeachtaí slándála (SIEM, ó fhaisnéis Slándála agus bainistíocht imeachtaí) go mór an tasc maidir le haon sáruithe iarrachta a thaifeadadh agus a bhlocáil.
Go traidisiúnta, cuireann córais SIEM le chéile córas bainistíochta slándála faisnéise agus córas bainistíochta imeachtaí slándála. Gné thábhachtach de na córais is ea an anailís ar imeachtaí slándála i bhfíor-am, a ligeann duit freagra a thabhairt orthu sula dtarlaíonn damáiste atá ann cheana féin.
Príomhchúraimí chórais SIEM:
- Bailiú sonraí agus normalú
- Comhghaol Sonraí
- Foláireamh
- Painéil léirshamhlaithe
- Stóráil sonraí a eagrú
- Cuardach agus Anailís Sonraí
- Tuairisciú
Cúiseanna leis an éileamh ard ar chórais SIEM
Le déanaí, tá méadú mór tagtha ar chastacht agus ar chomhordú na n-ionsaithe ar chórais faisnéise. Ag an am céanna, tá coimpléasc na n-uirlisí slándála faisnéise a úsáidtear ag éirí níos casta freisin - córais braite ionsáite bunaithe ar líonra agus óstach, córais DLP, córais frithvíreas agus ballaí dóiteáin, scanóirí leochaileachta, etc. Gineann gach uirlis slándála sruth imeachtaí le leibhéil éagsúla sonraí, agus go minic ní féidir ionsaí a fheiceáil ach amháin trí imeachtaí forluiteacha ó chórais éagsúla.
Tá go leor faoi gach cineál córais SIEM tráchtála , ach cuirimid forbhreathnú gairid ar fáil ar chórais SIEM foinse oscailte lán-chuimsitheach saor in aisce nach bhfuil srianta saorga ar líon na n-úsáideoirí nó ar an méid sonraí stóráilte a nglactar leo, agus atá inscálaithe agus tacaithe go héasca freisin. Tá súil againn go gcabhróidh sé seo le féidearthacht na gcóras sin a mheas agus cinneadh a dhéanamh an fiú réitigh den sórt sin a chomhtháthú i bpróisis ghnó na cuideachta.
AlienVault OSSIM
Is leagan foinse oscailte é AlienVault OSSIM de AlienVault USM, ceann de na príomhchórais SIEM tráchtála. Is creat é OSSIM atá comhdhéanta de roinnt tionscadal foinse oscailte, lena n-áirítear córas braite ionsáite líonra Snort, córas monatóireachta líonra agus óstach Nagios, córas braite ionsá bunaithe ar óstach OSSEC, agus scanóir leochaileachta OpenVAS.
Chun monatóireacht a dhéanamh ar fheistí, úsáidtear an Gníomhaire AlienVault, a sheolann logaí ón ósta i bhformáid syslog chuig an ardán GELF, nó is féidir breiseán a úsáid chun comhtháthú le seirbhísí tríú páirtí, mar shampla seirbhís seachfhreastalaí droim ar ais suíomh Gréasáin Cloudflare nó an Okta multi -Fachtóir córas fíordheimhnithe.
Tá an leagan USM difriúil ó OSSIM le feidhmiúlacht fheabhsaithe maidir le bainistíocht loga, monatóireacht ar bhonneagar scamall, uathoibriú, agus faisnéis bagairt nuashonraithe agus léirshamhlú.
Buntáistí
- Tógtha ar thionscadail chruthaithe foinse oscailte;
- Pobal mór úsáideoirí agus forbróirí.
Teorainneacha
- Ní thacaíonn sé le monatóireacht a dhéanamh ar ardáin scamall (mar shampla, AWS nó Azure);
- Níl aon bhainistiú loga, léirshamhlú, uathoibriú nó comhtháthú le seirbhísí tríú páirtí.
MozDef (Ardán Cosanta Mozilla)
Úsáidtear an córas MozDef SIEM arna fhorbairt ag Mozilla chun próisis phróiseála teagmhais slándála a uathoibriú. Tá an córas deartha ón talamh aníos chun feidhmíocht uasta, scalability agus lamháltas locht a bhaint amach, le hailtireacht microservice - ritheann gach seirbhís i gcoimeádán Docker.
Cosúil le OSSIM, tá MozDef tógtha ar thionscadail foinse oscailte a bhfuil tástáil ama orthu, lena n-áirítear modúl innéacsú agus cuardaigh logála Elasticsearch, ardán Meteor chun comhéadan gréasáin solúbtha a thógáil, agus breiseán Kibana le haghaidh léirshamhlú agus breacadh.
Déantar comhghaolú imeachtaí agus foláirimh ag baint úsáide as ceisteanna Elasticsearch, a ligeann duit do rialacha próiseála agus foláirimh imeachta féin a scríobh ag baint úsáide as Python. De réir Mozilla, is féidir le MozDef níos mó ná 300 milliún imeacht a phróiseáil in aghaidh an lae. Ní ghlacann MozDef ach le himeachtaí i bhformáid JSON, ach tá comhtháthú le seirbhísí tríú páirtí.
Buntáistí
- Ní úsáideann gníomhairí - oibríonn sé le logaí caighdeánacha JSON;
- Scálaí go héasca a bhuíochas leis an ailtireacht microservice;
- Tacaíonn sé le foinsí sonraí seirbhíse néil lena n-áirítear AWS CloudTrail agus GuardDuty.
Teorainneacha
- Córas nua nach bhfuil chomh seanbhunaithe.
Wazuh
Thosaigh Wazuh ag forbairt mar fhorc de chuid OSSEC, ceann de na SIEManna foinse oscailte is coitianta. Agus anois is é a réiteach uathúil féin é le feidhmiúlacht nua, réitigh fabhtanna agus ailtireacht optamaithe.
Tá an córas bunaithe ar chruach ElasticStack (Elasticsearch, Logstash, Kibana) agus tacaíonn sé le bailiú sonraí gníomhairebhunaithe agus le hionghabháil logála córais. Déanann sé seo éifeachtach chun monatóireacht a dhéanamh ar fheistí a ghineann logs ach nach dtacaíonn suiteáil gníomhairí - gléasanna líonra, printéirí agus forimeallach.
Tacaíonn Wazuh le gníomhairí OSSEC atá ann cheana féin agus soláthraíonn sé treoir fiú maidir le haistriú ó OSSEC go Wazuh. Cé go bhfuil tacaíocht ghníomhach fós ag OSSEC, feictear Wazuh mar leanúint de OSSEC mar gheall ar chomhéadan gréasáin nua, REST API, sraith rialacha níos iomláine, agus go leor feabhsuithe eile a chur leis.
Buntáistí
- Bunaithe ar agus ag luí leis an SIEM OSSEC móréilimh;
- Tacaíonn sé le roghanna suiteála éagsúla: Docker, Puipéad, Chef, Insible;
- Tacaíonn sé le monatóireacht a dhéanamh ar sheirbhísí scamall, lena n-áirítear AWS agus Azure;
- Áirítear leis sraith chuimsitheach rialacha chun cineálacha iomadúla ionsaithe a bhrath agus ligeann sé duit iad a chur i gcomparáid de réir PCI DSS v3.1 agus CIS.
- Comhtháthaítear leis an gcóras stórála agus anailíse loga Splunk le haghaidh léirshamhlú imeachtaí agus tacaíocht API.
Teorainneacha
- Ailtireacht choimpléascach - éilíonn imscaradh Stack Leaisteacha iomlán chomh maith le comhpháirteanna inneall Wazuh.
Prelude OS
Is leagan foinse oscailte é Prelude OSS den Prelude SIEM tráchtála, arna fhorbairt ag an gcuideachta Fhrancach CS. Is é an réiteach córas solúbtha, modúlach SIEM a thacaíonn le formáidí logála iolracha, comhtháthú le huirlisí tríú páirtí ar nós OSSEC, Snort agus córas braite líonra Suricata.
Déantar gach imeacht a normalú go teachtaireacht ag baint úsáide as an bhformáid IDMEF, a shimplíonn malartú sonraí le córais eile. Ach tá eitilt san ointment - tá Prelude OSS an-teoranta i bhfeidhmíocht agus feidhmiúlacht i gcomparáid leis an leagan tráchtála de Prelude SIEM, agus tá sé beartaithe níos mó do thionscadail bheaga nó chun staidéar a dhéanamh ar réitigh SIEM agus measúnú a dhéanamh ar Prelude SIEM.
Buntáistí
- Córas de réir tástála ama, a forbraíodh ó 1998;
- Tacaíochtaí go leor formáidí logáil éagsúla;
- Normalú sonraí go formáid IMDEF, rud a fhágann go bhfuil sé éasca sonraí a aistriú chuig córais slándála eile.
Teorainneacha
- Teorainn mhór ó thaobh feidhmiúlacht agus feidhmíochta i gcomparáid le córais foinse oscailte eile SIEM.
sagan
Is SIEM ardfheidhmíochta é Sagan a chuireann béim ar chomhoiriúnacht le Snort. Chomh maith le rialacha tacaíochta scríofa do Snort, is féidir le Sagan scríobh chuig bunachar sonraí Snort agus is féidir é a úsáid fiú le comhéadan Shuil. Go bunúsach, is réiteach éadrom il-snáithithe é a thairgeann gnéithe nua agus iad fós cairdiúil d'úsáideoirí Snort.
Buntáistí
- Luí go hiomlán le bunachar sonraí Snort, rialacha, agus comhéadan úsáideora;
- Soláthraíonn ailtireacht il-snáithithe ardfheidhmíocht.
Teorainneacha
- Tionscadal measartha óg le pobal beag;
- Próiseas suiteála casta a bhaineann leis an SIEM iomlán a thógáil ón bhfoinse.
Conclúid
Tá a saintréithe agus a teorainneacha féin ag gach ceann de na córais SIEM a bhfuil cur síos déanta orthu, mar sin ní féidir réiteach uilíoch a thabhairt orthu d’aon eagraíocht. Is réitigh foinse oscailte iad na réitigh sin, áfach, a cheadaíonn iad a imscaradh, a thástáil agus a mheas gan costais iomarcacha a tharraingt orthu féin.
Cad eile is féidir leat a léamh ar an bhlag?
→
→
→
→
→
Liostáil lenár -channel, ionas nach a chailleann an t-alt seo chugainn! Ní scríobhaimid níos mó ná dhá uair sa tseachtain agus ar ghnó amháin.
Foinse: will.com