Po čemu se dobar službenik za IT sigurnost razlikuje od običnog? Ne, ne time što će u svakom trenutku iz sjećanja prozvati broj poruka koje je voditelj Igor jučer poslao kolegici Mariji. Dobar zaštitar pokušava unaprijed identificirati moguća kršenja i uhvatiti ih u stvarnom vremenu, ulažući sve napore kako ne bi došlo do nastavka incidenta. Sustavi upravljanja sigurnosnim događajima (SIEM, od Security information and event management) uvelike pojednostavljuju zadatak brzog popravljanja i blokiranja svih pokušaja kršenja.
Tradicionalno, SIEM sustavi kombiniraju sustav upravljanja sigurnošću informacija i sustav upravljanja sigurnosnim događajima. Važna značajka sustava je analiza sigurnosnih događaja u stvarnom vremenu, što vam omogućuje da na njih reagirate prije nastanka postojeće štete.
Glavni zadaci SIEM sustava:
- Prikupljanje i normalizacija podataka
- Korelacija podataka
- Upozorenje
- Paneli za vizualizaciju
- Organizacija pohrane podataka
- Pretraživanje i analiza podataka
- Izvještavanje
Razlozi velike potražnje za SIEM sustavima
Složenost i koordinacija napada na informacijske sustave u posljednje je vrijeme znatno porasla. Istodobno, kompleks alata za zaštitu informacija koji se koriste također postaje sve složeniji - sustavi za detekciju upada u mrežu i hostove, DLP sustavi, antivirusni sustavi i vatrozidi, skeneri ranjivosti i tako dalje. Svaki zaštitni alat generira tok događaja s različitim detaljima, a napad često možete vidjeti samo preklapanjem događaja iz različitih sustava.
Postoji puno stvari o svim vrstama komercijalnih SIEM sustava
AlienVault OSSIM
AlienVault OSSIM je open-source verzija AlienVault USM, jednog od vodećih komercijalnih SIEM sustava. OSSIM je okvir koji se sastoji od nekoliko projekata otvorenog koda, uključujući sustav za otkrivanje upada u mrežu Snort, sustav za nadzor mreže i hosta Nagios, sustav za otkrivanje upada u host OSSEC i skener ranjivosti OpenVAS.
Nadgledanje uređaja koristi AlienVault Agent, koji šalje zapise s glavnog računala u syslog formatu na GELF platformu, ili se dodatak može koristiti za integraciju sa uslugama trećih strana, kao što je usluga obrnutog proxyja web stranice Cloudflare ili Oktin sustav višefaktorske autentifikacije .
Verzija USM razlikuje se od OSSIM-a po poboljšanom upravljanju zapisima, praćenju infrastrukture oblaka, automatizaciji i ažuriranim informacijama o prijetnjama i vizualizaciji.
Prednosti
- Izgrađen na provjerenim projektima otvorenog koda;
- Velika zajednica korisnika i programera.
Ograničenja
- Ne podržava nadzor platforme u oblaku (kao što su AWS ili Azure);
- Nema upravljanja zapisima, vizualizacije, automatizacije i integracije sa uslugama trećih strana.
MozDef (Mozilla obrambena platforma)
Mozillin MozDef SIEM sustav koristi se za automatizaciju procesa rukovanja sigurnosnim incidentima. Sustav je dizajniran od temelja za maksimalnu izvedbu, skalabilnost i toleranciju na pogreške, s arhitekturom mikroservisa - svaka usluga radi u Docker spremniku.
Poput OSSIM-a, MozDef je izgrađen na vremenski testiranim projektima otvorenog koda, uključujući modul za indeksiranje i pretraživanje dnevnika Elasticsearch, okvir Meteor za izgradnju fleksibilnog web sučelja i dodatak Kibana za vizualizaciju i crtanje.
Korelacija događaja i upozoravanje vrši se pomoću Elasticsearch upita, što vam omogućuje da napišete vlastita pravila za rukovanje događajima i upozorenja pomoću Pythona. Prema Mozilli, MozDef može obraditi više od 300 milijuna događaja dnevno. MozDef prihvaća samo događaje u JSON formatu, ali postoji integracija sa uslugama trećih strana.
Prednosti
- Ne koristi agente - radi sa standardnim JSON zapisnicima;
- Lako skalabilan zahvaljujući mikroservisnoj arhitekturi;
- Podržava izvore podataka usluge oblaka uključujući AWS CloudTrail i GuardDuty.
Ograničenja
- Novi i manje etablirani sustav.
Wazuh
Wazuh je započeo kao fork OSSEC-a, jednog od najpopularnijih SIEM-ova otvorenog koda. A sada je to vlastito jedinstveno rješenje s novom funkcionalnošću, ispravcima grešaka i optimiziranom arhitekturom.
Sustav je izgrađen na ElasticStacku (Elasticsearch, Logstash, Kibana) i podržava prikupljanje podataka temeljeno na agentima i gutanje zapisnika sustava. To ga čini učinkovitim za nadzor uređaja koji generiraju zapise, ali ne podržavaju instalaciju agenta - mrežnih uređaja, pisača i perifernih uređaja.
Wazuh podržava postojeće OSSEC agente i čak daje smjernice o prelasku s OSSEC-a na Wazuh. Iako se OSSEC još uvijek aktivno održava, Wazuh se smatra nastavkom OSSEC-a zbog dodavanja novog web sučelja, REST API-ja, potpunijeg skupa pravila i mnogih drugih poboljšanja.
Prednosti
- Temeljen na i kompatibilan s popularnim SIEM OSSEC-om;
- Podržava različite opcije instalacije: Docker, Puppet, Chef, Ansible;
- Podržava praćenje usluga u oblaku, uključujući AWS i Azure;
- Uključuje opsežan skup pravila za otkrivanje mnogih vrsta napada i omogućuje njihovu usporedbu u skladu s PCI DSS v3.1 i CIS.
- Integrira se sa sustavom za pohranu i analizu dnevnika Splunk, vizualizacijom događaja i API podrškom.
Ograničenja
- Složena arhitektura - Zahtijeva potpunu implementaciju Elastic Stack-a uz Wazuh poslužiteljske komponente.
Preludij OSS
Prelude OSS je verzija otvorenog koda komercijalnog Prelude SIEM-a koju je razvila francuska tvrtka CS. Rješenje je fleksibilan modularni SIEM sustav koji podržava mnoge formate dnevnika, integraciju s alatima trećih strana kao što su OSSEC, Snort i sustav detekcije mreže Suricata.
Svaki događaj se normalizira u IDMEF poruku, što pojednostavljuje razmjenu podataka s drugim sustavima. Ali postoji i mala muha - Prelude OSS je vrlo ograničen u performansama i funkcionalnosti u usporedbi s komercijalnom verzijom Prelude SIEM-a, te je više namijenjen malim projektima ili proučavanju SIEM rješenja i evaluaciji Prelude SIEM-a.
Prednosti
- Vremenski testiran sustav razvijen od 1998.;
- Podržava mnogo različitih formata dnevnika;
- Normalizira podatke u IMDEF format, što olakšava prijenos podataka u druge sigurnosne sustave.
Ograničenja
- Značajno ograničena funkcionalnost i izvedba u usporedbi s drugim SIEM sustavima otvorenog koda.
Sagan
Sagan je SIEM visokih performansi koji naglašava kompatibilnost sa Snortom. Osim podrške pravilima napisanim za Snort, Sagan može pisati u Snort bazu podataka i čak se može koristiti sa Shuil sučeljem. U osnovi, to je lagano, multi-threaded rješenje koje nudi nove značajke, a istovremeno je prijateljski nastrojeno prema korisnicima Snorta.
Prednosti
- Potpuno kompatibilan sa Snort bazom podataka, pravilima i korisničkim sučeljem;
- Višenitna arhitektura pruža visoke performanse.
Ograničenja
- Relativno mlad projekt s malom zajednicom;
- Složen postupak instalacije, uključujući izgradnju cijelog SIEM-a iz izvora.
Zaključak
Svaki od opisanih SIEM sustava ima svoje karakteristike i ograničenja, pa se ne mogu nazvati univerzalnim rješenjem za bilo koju organizaciju. Međutim, ta su rješenja otvorenog koda, što im omogućuje implementaciju, testiranje i procjenu bez pretjeranih troškova.
Što još možete pročitati na blogu?
→
→
→
→
→
Pretplatite se na naš
Izvor: www.habr.com