5 ઓપન સોર્સ સિક્યોરિટી ઇવેન્ટ મેનેજમેન્ટ સિસ્ટમ્સ

એક સારા આઇટી સુરક્ષા નિષ્ણાત સામાન્ય કરતાં કેવી રીતે અલગ પડે છે? ના, એ હકીકત દ્વારા નહીં કે કોઈ પણ સમયે તે મેનેજર ઇગોરે ગઈકાલે તેના સાથી મારિયાને મોકલેલા સંદેશાઓની સંખ્યાને મેમરીમાંથી નામ આપી શકે છે. એક સારા સુરક્ષા નિષ્ણાત સંભવિત ઉલ્લંઘનોને અગાઉથી ઓળખવાનો પ્રયાસ કરે છે અને તેને વાસ્તવિક સમયમાં પકડે છે, તે સુનિશ્ચિત કરવા માટે દરેક પ્રયાસ કરે છે કે ઘટના ચાલુ ન રહે. સુરક્ષા ઈવેન્ટ મેનેજમેન્ટ સિસ્ટમ્સ (SIEM, સુરક્ષા માહિતી અને ઈવેન્ટ મેનેજમેન્ટમાંથી) કોઈપણ પ્રયાસ કરેલા ઉલ્લંઘનને ઝડપથી રેકોર્ડ કરવા અને અવરોધિત કરવાના કાર્યને મોટા પ્રમાણમાં સરળ બનાવે છે.

પરંપરાગત રીતે, SIEM સિસ્ટમ્સ માહિતી સુરક્ષા વ્યવસ્થાપન સિસ્ટમ અને સુરક્ષા ઇવેન્ટ મેનેજમેન્ટ સિસ્ટમને જોડે છે. સિસ્ટમ્સની એક મહત્વપૂર્ણ વિશેષતા એ વાસ્તવિક સમયમાં સુરક્ષા ઘટનાઓનું વિશ્લેષણ છે, જે તમને હાલના નુકસાન થાય તે પહેલાં તેનો જવાબ આપવા માટે પરવાનગી આપે છે.

SIEM સિસ્ટમના મુખ્ય કાર્યો:

• ડેટા સંગ્રહ અને સામાન્યકરણ
• ડેટા સહસંબંધ
• ચેતવણી
• વિઝ્યુલાઇઝેશન પેનલ્સ
• ડેટા સ્ટોરેજનું સંગઠન
• ડેટા શોધ અને વિશ્લેષણ
• જાણ

SIEM સિસ્ટમ્સની ઉચ્ચ માંગ માટેનાં કારણો

તાજેતરમાં, માહિતી પ્રણાલીઓ પરના હુમલાઓની જટિલતા અને સંકલન ખૂબ વધી ગયું છે. તે જ સમયે, ઉપયોગમાં લેવાતા માહિતી સુરક્ષા સાધનોનું સંકુલ પણ વધુ જટિલ બની રહ્યું છે-નેટવર્ક અને હોસ્ટ-આધારિત ઇન્ટ્રુઝન ડિટેક્શન સિસ્ટમ્સ, DLP સિસ્ટમ્સ, એન્ટિ-વાયરસ સિસ્ટમ્સ અને ફાયરવૉલ્સ, નબળાઈ સ્કેનર્સ, વગેરે. દરેક સુરક્ષા સાધન વિવિધ સ્તરોની વિગતો સાથે ઘટનાઓનો પ્રવાહ જનરેટ કરે છે, અને ઘણી વખત હુમલો ફક્ત વિવિધ સિસ્ટમોમાંથી ઓવરલેપ થતી ઘટનાઓ દ્વારા જ જોઈ શકાય છે.

તમામ પ્રકારની વ્યાપારી SIEM સિસ્ટમો વિશે ઘણું બધું છે લેખિત, પરંતુ અમે મફત, સંપૂર્ણ સુવિધાયુક્ત ઓપન સોર્સ SIEM સિસ્ટમ્સનું સંક્ષિપ્ત વિહંગાવલોકન ઑફર કરીએ છીએ કે જેમાં વપરાશકર્તાઓની સંખ્યા અથવા સ્વીકૃત સંગ્રહિત ડેટાના વોલ્યુમ પર કૃત્રિમ પ્રતિબંધો નથી, અને તે સરળતાથી સ્કેલેબલ અને સપોર્ટેડ પણ છે. અમે આશા રાખીએ છીએ કે આ આવી સિસ્ટમ્સની સંભવિતતાનું મૂલ્યાંકન કરવામાં મદદ કરશે અને નક્કી કરશે કે આવા સોલ્યુશન્સ કંપનીની વ્યવસાય પ્રક્રિયાઓમાં એકીકૃત થવા યોગ્ય છે કે કેમ.

AlienVault OSSIM

AlienVault OSSIM એ AlienVault USM નું ઓપન સોર્સ વર્ઝન છે, જે અગ્રણી વ્યાપારી SIEM સિસ્ટમ્સમાંની એક છે. OSSIM એ એક ફ્રેમવર્ક છે જેમાં સ્નોર્ટ નેટવર્ક ઇન્ટ્રુઝન ડિટેક્શન સિસ્ટમ, નાગીઓસ નેટવર્ક અને હોસ્ટ મોનિટરિંગ સિસ્ટમ, OSSEC હોસ્ટ-આધારિત ઇન્ટ્રુઝન ડિટેક્શન સિસ્ટમ અને OpenVAS નબળાઈ સ્કેનર સહિત ઘણા ઓપન સોર્સ પ્રોજેક્ટ્સનો સમાવેશ થાય છે.

ઉપકરણોને મોનિટર કરવા માટે, AlienVault એજન્ટનો ઉપયોગ કરવામાં આવે છે, જે હોસ્ટમાંથી syslog ફોર્મેટમાં GELF પ્લેટફોર્મ પર લૉગ મોકલે છે અથવા પ્લગઇનનો ઉપયોગ તૃતીય-પક્ષ સેવાઓ સાથે સંકલન માટે કરી શકાય છે, જેમ કે Cloudflare વેબસાઇટ રિવર્સ પ્રોક્સી સેવા અથવા Okta multi - પરિબળ પ્રમાણીકરણ સિસ્ટમ.

લોગ મેનેજમેન્ટ, ક્લાઉડ ઇન્ફ્રાસ્ટ્રક્ચર મોનિટરિંગ, ઓટોમેશન અને અપડેટેડ ધમકી માહિતી અને વિઝ્યુલાઇઝેશન માટે ઉન્નત કાર્યક્ષમતા સાથે યુએસએમ સંસ્કરણ OSSIM થી અલગ છે.

લાભો

• સાબિત ઓપન સોર્સ પ્રોજેક્ટ્સ પર બિલ્ટ;
• વપરાશકર્તાઓ અને વિકાસકર્તાઓનો મોટો સમુદાય.

ખામીઓ

• ક્લાઉડ પ્લેટફોર્મના મોનિટરિંગને સપોર્ટ કરતું નથી (ઉદાહરણ તરીકે, AWS અથવા Azure);
• તૃતીય-પક્ષ સેવાઓ સાથે કોઈ લોગ મેનેજમેન્ટ, વિઝ્યુલાઇઝેશન, ઓટોમેશન અથવા એકીકરણ નથી.

સોર્સ

MozDef (મોઝિલા ડિફેન્સ પ્લેટફોર્મ)

મોઝિલા દ્વારા વિકસિત MozDef SIEM સિસ્ટમનો ઉપયોગ સુરક્ષા ઘટના પ્રક્રિયા પ્રક્રિયાઓને સ્વચાલિત કરવા માટે થાય છે. માઇક્રોસર્વિસ આર્કિટેક્ચર સાથે મહત્તમ કાર્યક્ષમતા, માપનીયતા અને ખામી સહિષ્ણુતા હાંસલ કરવા માટે સિસ્ટમ ગ્રાઉન્ડ ઉપરથી ડિઝાઇન કરવામાં આવી છે - દરેક સેવા ડોકર કન્ટેનરમાં ચાલે છે.

OSSIM ની જેમ, MozDef પણ સમય-ચકાસાયેલ ઓપન સોર્સ પ્રોજેક્ટ્સ પર બનેલ છે, જેમાં Elasticsearch લોગ ઈન્ડેક્સીંગ અને સર્ચ મોડ્યુલ, લવચીક વેબ ઈન્ટરફેસ બનાવવા માટે Meteor પ્લેટફોર્મ અને વિઝ્યુલાઇઝેશન અને પ્લોટીંગ માટે કિબાના પ્લગઈનનો સમાવેશ થાય છે.

ઇવેન્ટ સહસંબંધ અને ચેતવણી Elasticsearch ક્વેરીઝનો ઉપયોગ કરીને કરવામાં આવે છે, જે તમને Python નો ઉપયોગ કરીને તમારી પોતાની ઇવેન્ટ પ્રોસેસિંગ અને ચેતવણીના નિયમો લખવાની મંજૂરી આપે છે. Mozilla અનુસાર, MozDef દરરોજ 300 મિલિયનથી વધુ ઇવેન્ટ્સ પર પ્રક્રિયા કરી શકે છે. MozDef માત્ર JSON ફોર્મેટમાં ઇવેન્ટ્સ સ્વીકારે છે, પરંતુ તૃતીય-પક્ષ સેવાઓ સાથે એકીકરણ છે.

લાભો

• એજન્ટોનો ઉપયોગ કરતું નથી - પ્રમાણભૂત JSON લોગ સાથે કામ કરે છે;
• માઇક્રોસર્વિસ આર્કિટેક્ચરને આભારી સરળતાથી સ્કેલ કરે છે;
• AWS CloudTrail અને GuardDuty સહિત ક્લાઉડ સર્વિસ ડેટા સ્ત્રોતોને સપોર્ટ કરે છે.

ખામીઓ

• નવી અને ઓછી સ્થાપિત સિસ્ટમ.

સોર્સ

વઝુહ

વઝુહે OSSEC ના ફોર્ક તરીકે વિકાસની શરૂઆત કરી, જે સૌથી વધુ લોકપ્રિય ઓપન સોર્સ SIEM માંની એક છે. અને હવે તે નવી કાર્યક્ષમતા, બગ ફિક્સ અને ઑપ્ટિમાઇઝ આર્કિટેક્ચર સાથેનું પોતાનું અનોખું સોલ્યુશન છે.

સિસ્ટમ ElasticStack સ્ટેક (Elasticsearch, Logstash, Kibana) પર બનેલ છે અને એજન્ટ-આધારિત ડેટા સંગ્રહ અને સિસ્ટમ લોગ ઇન્જેશન બંનેને સપોર્ટ કરે છે. આ તે ઉપકરણોને મોનિટર કરવા માટે અસરકારક બનાવે છે જે લોગ જનરેટ કરે છે પરંતુ એજન્ટ ઇન્સ્ટોલેશનને સપોર્ટ કરતા નથી - નેટવર્ક ઉપકરણો, પ્રિન્ટર્સ અને પેરિફેરલ્સ.

વઝુહ હાલના OSSEC એજન્ટોને સમર્થન આપે છે અને OSSEC થી વઝુહમાં સ્થળાંતર કરવા માટે માર્ગદર્શન પણ પૂરું પાડે છે. OSSEC હજુ પણ સક્રિય રીતે સમર્થિત હોવા છતાં, નવા વેબ ઈન્ટરફેસ, REST API, નિયમોનો વધુ સંપૂર્ણ સમૂહ અને અન્ય ઘણા સુધારાઓને કારણે વઝુહને OSSECના ચાલુ તરીકે જોવામાં આવે છે.

લાભો

• લોકપ્રિય SIEM OSSEC પર આધારિત અને સુસંગત;
• વિવિધ ઇન્સ્ટોલેશન વિકલ્પોને સપોર્ટ કરે છે: ડોકર, પપેટ, રસોઇયા, જવાબી;
• AWS અને Azure સહિત ક્લાઉડ સેવાઓની દેખરેખને સમર્થન આપે છે;
• બહુવિધ પ્રકારના હુમલાઓ શોધવા માટે નિયમોના વ્યાપક સમૂહનો સમાવેશ કરે છે અને તમને PCI DSS v3.1 અને CIS અનુસાર તેમની તુલના કરવાની મંજૂરી આપે છે.
• ઇવેન્ટ વિઝ્યુલાઇઝેશન અને API સપોર્ટ માટે સ્પ્લંક લોગ સ્ટોરેજ અને વિશ્લેષણ સિસ્ટમ સાથે સંકલિત કરે છે.

ખામીઓ

• જટિલ આર્કિટેક્ચર - વઝુહ બેકએન્ડ ઘટકો ઉપરાંત સંપૂર્ણ સ્થિતિસ્થાપક સ્ટેક જમાવટની જરૂર છે.

સોર્સ

પ્રિલ્યુડ ઓએસ

પ્રિલ્યુડ ઓએસએસ એ ફ્રેન્ચ કંપની CS દ્વારા વિકસિત કોમર્શિયલ પ્રિલ્યુડ SIEMનું ઓપન સોર્સ વર્ઝન છે. ઉકેલ એ લવચીક, મોડ્યુલર SIEM સિસ્ટમ છે જે બહુવિધ લોગ ફોર્મેટને સપોર્ટ કરે છે, તૃતીય-પક્ષ સાધનો જેમ કે OSSEC, Snort અને Suricata નેટવર્ક ડિટેક્શન સિસ્ટમ સાથે એકીકરણ.

IDMEF ફોર્મેટનો ઉપયોગ કરીને દરેક ઘટનાને સંદેશમાં સામાન્ય કરવામાં આવે છે, જે અન્ય સિસ્ટમો સાથે ડેટા એક્સચેન્જને સરળ બનાવે છે. પરંતુ મલમમાં એક ફ્લાય છે - પ્રિલ્યુડ SIEM ના વ્યવસાયિક સંસ્કરણની તુલનામાં પ્રિલ્યુડ ઓએસએસ કામગીરી અને કાર્યક્ષમતામાં ખૂબ જ મર્યાદિત છે, અને તે નાના પ્રોજેક્ટ્સ અથવા SIEM સોલ્યુશન્સનો અભ્યાસ કરવા અને પ્રિલ્યુડ SIEMનું મૂલ્યાંકન કરવા માટે વધુ હેતુ ધરાવે છે.

લાભો

• સમય-પરીક્ષણ સિસ્ટમ, 1998 થી વિકસિત;
• ઘણાં વિવિધ લોગ ફોર્મેટને સપોર્ટ કરે છે;
• ડેટાને IMDEF ફોર્મેટમાં સામાન્ય બનાવે છે, જે અન્ય સુરક્ષા સિસ્ટમોમાં ડેટા ટ્રાન્સફર કરવાનું સરળ બનાવે છે.

ખામીઓ

• અન્ય ઓપન-સોર્સ SIEM સિસ્ટમ્સની તુલનામાં કાર્યક્ષમતા અને પ્રદર્શનમાં નોંધપાત્ર રીતે મર્યાદિત.

સોર્સ

સાગન

સાગન એ ઉચ્ચ-પ્રદર્શન SIEM છે જે સ્નોર્ટ સાથે સુસંગતતા પર ભાર મૂકે છે. Snort માટે લખેલા સહાયક નિયમો ઉપરાંત, Sagan Snort ડેટાબેઝ પર લખી શકે છે અને તેનો ઉપયોગ Shuil ઈન્ટરફેસ સાથે પણ થઈ શકે છે. અનિવાર્યપણે, તે હળવા વજનના મલ્ટિ-થ્રેડેડ સોલ્યુશન છે જે સ્નોર્ટ વપરાશકર્તાઓ માટે મૈત્રીપૂર્ણ રહેવા સાથે નવી સુવિધાઓ પ્રદાન કરે છે.

લાભો

• Snort ડેટાબેઝ, નિયમો અને વપરાશકર્તા ઇન્ટરફેસ સાથે સંપૂર્ણપણે સુસંગત;
• મલ્ટી-થ્રેડેડ આર્કિટેક્ચર ઉચ્ચ પ્રદર્શન પ્રદાન કરે છે.

ખામીઓ

• નાના સમુદાય સાથે પ્રમાણમાં યુવાન પ્રોજેક્ટ;
• એક જટિલ ઇન્સ્ટોલેશન પ્રક્રિયા જેમાં સ્ત્રોતમાંથી સમગ્ર SIEM બનાવવાનો સમાવેશ થાય છે.

સોર્સ

નિષ્કર્ષ

વર્ણવેલ દરેક SIEM સિસ્ટમની પોતાની લાક્ષણિકતાઓ અને મર્યાદાઓ છે, તેથી તેને કોઈપણ સંસ્થા માટે સાર્વત્રિક ઉકેલ કહી શકાય નહીં. જો કે, આ સોલ્યુશન્સ ઓપન સોર્સ છે, જે તેમને વધુ પડતો ખર્ચ કર્યા વિના તૈનાત, પરીક્ષણ અને મૂલ્યાંકન કરવાની મંજૂરી આપે છે.

તમે બ્લોગ પર બીજું શું રસપ્રદ વાંચી શકો છો? Cloud4Y

→ સમગ્ર ગ્રહનું VNIITE: કેવી રીતે યુએસએસઆરમાં "સ્માર્ટ હોમ" સિસ્ટમની શોધ થઈ
→ ન્યુરલ ઇન્ટરફેસ માનવતાને કેવી રીતે મદદ કરે છે
→ રશિયન બજારમાં સાયબર વીમો
→ લાઈટ, કેમેરા... ક્લાઉડ: વાદળો ફિલ્મ ઈન્ડસ્ટ્રીને કેવી રીતે બદલી રહ્યા છે
→ વાદળોમાં ફૂટબોલ - ફેશન કે જરૂરિયાત?

અમારા પર સબ્સ્ક્રાઇબ કરો Telegram-ચેનલ, જેથી આગળનો લેખ ચૂકી ન જાય! અમે અઠવાડિયામાં બે વાર કરતાં વધુ અને ફક્ત વ્યવસાય પર લખતા નથી.

સોર્સ: www.habr.com