Ki jan yon espesyalis sekirite IT bon diferan de yon sèl òdinè? Non, pa pa lefèt ke a nenpòt ki lè li ka nonmen nan memwa kantite mesaj ke manadjè Igor te voye yè bay kòlèg li Maria. Yon bon espesyalis sekirite eseye idantifye vyolasyon posib alavans epi kenbe yo an tan reyèl, fè tout efò asire ke ensidan an pa kontinye. Sistèm jesyon evènman sekirite (SIEM, ki soti nan enfòmasyon sekirite ak jesyon evènman) anpil senplifye travay la byen vit anrejistreman ak bloke nenpòt vyolasyon tantativ.
Tradisyonèlman, sistèm SIEM konbine yon sistèm jesyon sekirite enfòmasyon ak yon sistèm jesyon evènman sekirite. Yon karakteristik enpòtan nan sistèm yo se analiz la nan evènman sekirite nan tan reyèl, ki pèmèt ou reponn a yo anvan domaj ki egziste deja rive.
Travay prensipal sistèm SIEM:
- Koleksyon done ak nòmalizasyon
- Done Korelasyon
- Alèt
- Panno vizyalizasyon
- Òganizasyon depo done
- Rechèch done ak analiz
- Rapòte
Rezon pou demann lan wo pou sistèm SIEM
Dènyèman, konpleksite ak kowòdinasyon atak sou sistèm enfòmasyon yo te ogmante anpil. An menm tan an, konplèks zouti sekirite enfòmasyon yo itilize tou ap vin pi konplike—rezo ak sistèm deteksyon entrizyon ki baze sou lame, sistèm DLP, sistèm anti-viris ak firewall, eskanè vilnerabilite, elatriye. Chak zouti sekirite jenere yon kouran evènman ak diferan nivo detay, e souvan yon atak ka sèlman wè sipèpoze evènman ki soti nan diferan sistèm.
Gen anpil bagay sou tout kalite sistèm SIEM komèsyal yo , men nou ofri yon apèsi tou kout sou sistèm SIEM sous louvri, ki pa gen okenn restriksyon atifisyèl sou kantite itilizatè yo oswa volim done ki estoke yo aksepte, epi yo fasilman évolutive ak sipòte. Nou espere ke sa a pral ede evalye potansyèl sistèm sa yo epi deside si solisyon sa yo vo entegre nan pwosesis biznis konpayi an.
AlienVault OSSIM
AlienVault OSSIM se yon vèsyon sous louvri nan AlienVault USM, youn nan dirijan sistèm komèsyal SIEM yo. OSSIM se yon kad ki gen plizyè pwojè sous louvri, tankou sistèm deteksyon entrizyon rezo Snort, rezo Nagios ak sistèm siveyans lame, sistèm deteksyon entrizyon ki baze sou lame OSSEC, ak eskanè vilnerabilite OpenVAS.
Pou kontwole aparèy yo, yo itilize Ajan AlienVault la, ki voye mòso bwa soti nan lame a nan fòma syslog nan platfòm GELF la, oswa yo ka itilize yon plugin pou entegrasyon ak sèvis twazyèm pati, tankou sèvis prokurasyon ranvèse sou sit wèb Cloudflare oswa milti Okta. -faktè sistèm otantifikasyon.
Vèsyon USM a diferan de OSSIM ak fonksyonalite amelyore pou jesyon boutèy demi lit, siveyans enfrastrikti nwaj la, automatisation, ak enfòmasyon ak vizyalizasyon menas ki ajou.
Avantaj
- Bati sou pwojè sous louvri ki pwouve;
- Gwo kominote itilizatè yo ak devlopè yo.
Limit
- Pa sipòte siveyans platfòm nwaj yo (pa egzanp, AWS oswa Azure);
- Pa gen jesyon boutèy demi lit, vizyalizasyon, automatisation oswa entegrasyon ak sèvis twazyèm pati.
MozDef (platfòm defans Mozilla)
Sistèm MozDef SIEM devlope pa Mozilla itilize pou otomatize pwosesis pwosesis ensidan sekirite yo. Sistèm nan fèt depi nan baz pou reyalize maksimòm pèfòmans, évolutivité ak tolerans fay, ak yon achitekti mikwosèvis - chak sèvis kouri nan yon veso Docker.
Menm jan ak OSSIM, MozDef bati sou pwojè sous ouvè ki teste tan, ki gen ladan Elasticsearch log Indexing ak modil rechèch, platfòm Meteor pou bati yon koòdone entènèt fleksib, ak Plugin Kibana pou vizyalizasyon ak trase.
Korelasyon evènman ak alèt yo fèt lè l sèvi avèk rechèch Elasticsearch, ki pèmèt ou ekri pwòp pwosesis evènman ou ak règ alèt lè l sèvi avèk Python. Dapre Mozilla, MozDef ka trete plis pase 300 milyon evènman chak jou. MozDef sèlman aksepte evènman nan fòma JSON, men gen entegrasyon ak sèvis twazyèm pati.
Avantaj
- Pa sèvi ak ajan - travay ak mòso bwa JSON estanda;
- Echèl fasil gras a achitekti mikwosèvis;
- Sipòte sous done sèvis nwaj yo tankou AWS CloudTrail ak GuardDuty.
Limit
- Nouvo sistèm ak mwens etabli.
Wazuh
Wazuh te kòmanse devlopman kòm yon fouchèt nan OSSEC, youn nan SIEM sous louvri ki pi popilè. Epi kounye a li se pwòp solisyon inik li yo ak nouvo fonksyonalite, ranje ensèk ak achitekti optimize.
Sistèm nan bati sou pil ElasticStack (Elasticsearch, Logstash, Kibana) epi li sipòte tou de koleksyon done ki baze sou ajan ak enjèstyon log sistèm. Sa fè li efikas pou siveyans aparèy ki jenere mòso bwa men ki pa sipòte enstalasyon ajan - aparèy rezo, enprimant ak periferik.
Wazuh sipòte ajan OSSEC ki deja egziste e menm bay konsèy sou migrasyon soti nan OSSEC pou ale Wazuh. Malgre ke OSSEC toujou sipòte aktivman, Wazuh konsidere kòm yon kontinyasyon nan OSSEC akòz adisyon a nan yon nouvo koòdone entènèt, REST API, yon seri règ pi konplè, ak anpil lòt amelyorasyon.
Avantaj
- Ki baze sou ak konpatib ak popilè SIEM OSSEC la;
- Sipòte opsyon enstalasyon divès kalite: Docker, Puppet, Chef, Ansible;
- Sipòte siveyans sèvis nwaj yo, tankou AWS ak Azure;
- Gen yon seri règleman konplè pou detekte plizyè kalite atak epi pèmèt ou konpare yo an akò ak PCI DSS v3.1 ak CIS.
- Entegre ak sistèm depo ak analiz Splunk pou vizyalizasyon evènman ak sipò API.
Limit
- Achitekti konplèks - mande pou yon deplwaman Elastic Stack konplè anplis konpozan backend Wazuh.
Prelid OS
Prelude OSS se yon vèsyon sous louvri nan komèsyal Prelude SIEM, devlope pa konpayi franse CS la. Solisyon an se yon sistèm SIEM fleksib, modilè ki sipòte plizyè fòma boutèy demi lit, entegrasyon ak zouti twazyèm pati tankou OSSEC, Snort ak sistèm deteksyon rezo Suricata.
Chak evènman nòmalize nan yon mesaj lè l sèvi avèk fòma IDMEF, ki senplifye echanj done ak lòt sistèm. Men, gen yon vole nan odè a - Prelude OSS trè limite nan pèfòmans ak fonksyonalite konpare ak vèsyon komèsyal Prelude SIEM, epi li gen entansyon plis pou ti pwojè oswa pou etidye solisyon SIEM ak evalye Prelude SIEM.
Avantaj
- Tan-tès sistèm, devlope depi 1998;
- Sipòte anpil fòma boutèy demi lit diferan;
- Nòmalize done nan fòma IMDEF, sa ki fè li fasil transfere done nan lòt sistèm sekirite.
Limit
- Siyifikativman limite nan fonksyonalite ak pèfòmans konpare ak lòt sistèm SIEM sous louvri.
sagan
Sagan se yon SIEM wo-pèfòmans ki mete aksan sou konpatibilite ak Snort. Anplis de sa nan sipòte règ ekri pou Snort, Sagan ka ekri nan baz done a Snort epi yo ka menm itilize ak koòdone nan Shuil. Esansyèlman, li se yon solisyon milti-threaded ki lejè ki ofri nouvo karakteristik pandan y ap rete zanmitay ak itilizatè Snort.
Avantaj
- Konplètman konpatib ak baz done Snort, règ, ak koòdone itilizatè;
- Achitekti milti-threaded bay pèfòmans segondè.
Limit
- Yon pwojè relativman jèn ak yon ti kominote;
- Yon pwosesis enstalasyon konplèks ki enplike nan bati tout SIEM a soti nan sous.
Konklizyon
Chak nan sistèm SIEM ki dekri yo gen karakteristik pwòp li yo ak limit, kidonk yo pa ka rele yon solisyon inivèsèl pou nenpòt ki òganizasyon. Sepandan, solisyon sa yo se sous ouvè, sa ki pèmèt yo deplwaye, teste ak evalye san yo pa depanse twòp.
Ki lòt bagay enteresan ou ka li sou blog la?
→
→
→
→
→
Abònman ak nou -channel pou ou pa rate pwochen atik la! Nou ekri pa plis pase de fwa pa semèn epi sèlman sou biznis.
Sous: www.habr.com