En que se diferencia un bo oficial de seguridade informática dun normal? Non, non polo feito de que nalgún momento chamará de memoria a cantidade de mensaxes que o xerente Igor enviou onte á súa compañeira María. Un bo axente de seguridade trata de identificar con antelación posibles infraccións e detectalas en tempo real, facendo todo o posible para que non continúe o incidente. Os sistemas de xestión de eventos de seguridade (SIEM, de Información de seguridade e xestión de eventos) simplifican moito a tarefa de corrixir e bloquear rapidamente calquera intento de violación.
Tradicionalmente, os sistemas SIEM combinan un sistema de xestión de seguridade da información e un sistema de xestión de eventos de seguridade. Unha característica importante dos sistemas é a análise dos eventos de seguridade en tempo real, o que permite responder a eles antes da aparición dos danos existentes.
As principais tarefas dos sistemas SIEM:
- Recollida e normalización de datos
- Correlación de datos
- Alerta
- Paneis de visualización
- Organización do almacenamento de datos
- Busca e análise de datos
- Informes
Motivos da alta demanda de sistemas SIEM
Recentemente, a complexidade e a coordinación dos ataques aos sistemas de información aumentaron moito. Ao mesmo tempo, o complexo de ferramentas de protección da información utilizadas tamén é cada vez máis complexo: sistemas de detección de intrusións en redes e host, sistemas DLP, sistemas antivirus e cortalumes, escáneres de vulnerabilidades, etc. Cada ferramenta de protección xera un fluxo de eventos con diferentes detalles, e moitas veces só podes ver un ataque superpoñendo eventos de diferentes sistemas.
Hai moitas cousas sobre todo tipo de sistemas SIEM comerciais , pero ofrecemos unha breve visión xeral dos sistemas SIEM de código aberto gratuítos que non teñen restricións artificiais sobre o número de usuarios ou a cantidade de datos almacenados recibidos, e tamén son facilmente escalables e compatibles. Agardamos que isto axude a avaliar o potencial destes sistemas e decidir se integrar tales solucións nos procesos de negocio da empresa.
AlienVault OSSIM
AlienVault OSSIM é a versión de código aberto de AlienVault USM, un dos principais sistemas SIEM comerciais. OSSIM é un marco que consta de varios proxectos de código aberto, incluíndo o sistema de detección de intrusións na rede Snort, o sistema de monitorización da rede Nagios e do host, o sistema de detección de intrusións do host OSSEC e o escáner de vulnerabilidades OpenVAS.
A supervisión do dispositivo usa o axente AlienVault, que envía rexistros desde o host en formato syslog á plataforma GELF, ou pódese usar un complemento para integrarse con servizos de terceiros, como o servizo de proxy inverso do sitio web de Cloudflare ou o sistema de autenticación multifactor de Okta. .
A versión USM difire de OSSIM en xestión de rexistros mellorada, monitorización da infraestrutura na nube, automatización e información e visualización de ameazas actualizadas.
Vantaxes
- Construído sobre proxectos de código aberto comprobados;
- Gran comunidade de usuarios e desenvolvedores.
Limitacións
- Non admite a supervisión de plataformas na nube (como AWS ou Azure);
- Non hai xestión de rexistros, visualización, automatización e integración con servizos de terceiros.
MozDef (Mozilla Defense Platform)
O sistema MozDef SIEM de Mozilla úsase para automatizar os procesos de xestión de incidentes de seguridade. O sistema está deseñado desde cero para o máximo rendemento, escalabilidade e tolerancia a fallos, cunha arquitectura de microservizos: cada servizo execútase nun contedor Docker.
Do mesmo xeito que OSSIM, MozDef está construído en proxectos de código aberto probados no tempo, incluíndo o módulo de busca e indexación de rexistros Elasticsearch, o marco Meteor para construír unha interface web flexible e o complemento Kibana para visualización e trazado.
A correlación de eventos e as alertas realízanse mediante unha consulta Elasticsearch, o que lle permite escribir as súas propias regras de xestión de eventos e alertas mediante Python. Segundo Mozilla, MozDef pode xestionar máis de 300 millóns de eventos ao día. MozDef só acepta eventos en formato JSON, pero hai integración con servizos de terceiros.
Vantaxes
- Non usa axentes: funciona con rexistros JSON estándar;
- Facilmente escalable grazas á arquitectura de microservizos;
- Admite fontes de datos de servizos na nube, incluíndo AWS CloudTrail e GuardDuty.
Limitacións
- Un sistema novo e menos establecido.
Wazuh
Wazuh comezou como un fork de OSSEC, un dos SIEM de código aberto máis populares. E agora é a súa propia solución única con novas funcionalidades, correccións de erros e unha arquitectura optimizada.
O sistema está construído en ElasticStack (Elasticsearch, Logstash, Kibana) e admite tanto a recollida de datos baseada en axentes como a inxestión de rexistros do sistema. Isto fai que sexa eficaz para supervisar dispositivos que xeran rexistros pero non admiten a instalación de axentes: dispositivos de rede, impresoras e periféricos.
Wazuh admite axentes OSSEC existentes e incluso ofrece orientación sobre a migración de OSSEC a Wazuh. Aínda que OSSEC aínda se mantén activamente, Wazuh é visto como unha continuación de OSSEC debido á adición dunha nova interface web, a API REST, un conxunto de regras máis completo e moitas outras melloras.
Vantaxes
- Baseado e compatible co popular SIEM OSSEC;
- Admite varias opcións de instalación: Docker, Puppet, Chef, Ansible;
- Admite a supervisión de servizos na nube, incluíndo AWS e Azure;
- Inclúe un conxunto completo de regras para detectar moitos tipos de ataques e permite comparalos segundo PCI DSS v3.1 e CIS.
- Intégrase co sistema de análise e almacenamento de rexistros de Splunk, visualización de eventos e soporte de API.
Limitacións
- Arquitectura complexa: require unha implementación completa de Elastic Stack ademais dos compoñentes do servidor Wazuh.
Preludio OSS
Prelude OSS é unha versión de código aberto do comercial Prelude SIEM desenvolvido pola empresa francesa CS. A solución é un sistema SIEM modular flexible que admite moitos formatos de rexistro, integración con ferramentas de terceiros como OSSEC, Snort e o sistema de detección de rede Suricata.
Cada evento normalízase nunha mensaxe IDMEF, o que simplifica o intercambio de datos con outros sistemas. Pero tamén hai unha mosca na pomada: Prelude OSS é moi limitado en rendemento e funcionalidade en comparación coa versión comercial de Prelude SIEM, e está pensado máis para pequenos proxectos ou para estudar solucións SIEM e avaliar Prelude SIEM.
Vantaxes
- Sistema probado no tempo desenvolvido desde 1998;
- Soporta moitos formatos de rexistro diferentes;
- Normaliza os datos ao formato IMDEF, o que facilita a transferencia de datos a outros sistemas de seguridade.
Limitacións
- Limitado significativamente en funcións e rendemento en comparación con outros sistemas SIEM de código aberto.
sagan
Sagan é un SIEM de alto rendemento que fai fincapé na compatibilidade con Snort. Ademais de admitir as regras escritas para Snort, Sagan pode escribir na base de datos Snort e mesmo pode usarse coa interface Shuil. Basicamente, trátase dunha solución lixeira e multiproceso que ofrece novas funcións mentres segue a ser amigable para os usuarios de Snort.
Vantaxes
- Totalmente compatible coa base de datos, as regras e a interface de usuario Snort;
- A arquitectura multiproceso garante un alto rendemento.
Limitacións
- Proxecto relativamente novo cunha pequena comunidade;
- Un proceso de instalación complexo, incluíndo a construción de todo o SIEM desde a orixe.
Conclusión
Cada un dos sistemas SIEM descritos ten as súas propias características e limitacións, polo que non se poden chamar unha solución universal para ningunha organización. Non obstante, estas solucións son de código aberto, o que permite implantar, probar e avaliar sen incorrer en custos excesivos.
Que máis podes ler no blog?
→
→
→
→
→
Subscríbete ao noso -canle, para non perder o seguinte artigo! Escribimos non máis de dúas veces por semana e só por negocios.
Fonte: www.habr.com