Miben különbözik egy jó IT-biztonsági szakember egy átlagostól? Nem, nem attól, hogy bármikor emlékezetből meg tudja nevezni, hány üzenetet küldött tegnap Igor menedzser kollégájának, Maria-nak. Egy jó biztonsági szakember igyekszik előre azonosítani és valós időben elkapni az esetleges jogsértéseket, és mindent megtesz annak érdekében, hogy az incidens ne folytatódjon. A biztonsági eseménykezelő rendszerek (SIEM, a Security Information and Event Management-től) nagymértékben leegyszerűsítik az esetleges jogsértési kísérletek gyors rögzítését és blokkolását.
Hagyományosan a SIEM rendszerek egy információbiztonsági menedzsment rendszert és egy biztonsági eseménykezelő rendszert kombinálnak. A rendszerek fontos jellemzője a biztonsági események valós idejű elemzése, amely lehetővé teszi, hogy a meglévő károk bekövetkezése előtt reagáljon rájuk.
A SIEM rendszerek fő feladatai:
- Adatgyűjtés és normalizálás
- Adatkorreláció
- Éber
- Vizualizációs panelek
- Adattárolás szervezése
- Adatkeresés és -elemzés
- Jelentés
A SIEM rendszerek iránti nagy kereslet okai
Az utóbbi időben az információs rendszerek elleni támadások összetettsége és összehangoltsága jelentősen megnőtt. Ezzel párhuzamosan a használt információbiztonsági eszközök komplexuma is egyre összetettebbé válik – hálózati és gazdagép alapú behatolásjelző rendszerek, DLP rendszerek, vírusirtó rendszerek és tűzfalak, sebezhetőség-ellenőrzők stb. Mindegyik biztonsági eszköz különböző részletezettségű eseményeket generál, és a támadás gyakran csak a különböző rendszerek átfedő eseményeiből látható.
Sok mindenféle kereskedelmi SIEM rendszerről van szó
AlienVault OSSIM
Az AlienVault OSSIM az AlienVault USM, az egyik vezető kereskedelmi SIEM-rendszer nyílt forráskódú változata. Az OSSIM egy keretrendszer, amely több nyílt forráskódú projektből áll, köztük a Snort hálózati behatolásérzékelő rendszerből, a Nagios hálózat- és gazdagépfigyelő rendszerből, az OSSEC gazdagép alapú behatolásészlelő rendszerből és az OpenVAS sebezhetőség-ellenőrzőből.
Az eszközök figyelésére az AlienVault Agent szolgál, amely syslog formátumban küldi el a naplókat a gazdagéptől a GELF platformra, vagy egy plugin használható a külső szolgáltatásokkal való integrációhoz, mint például a Cloudflare weboldal fordított proxy szolgáltatása vagy az Okta multi -faktoros hitelesítési rendszer.
Az USM-verzió különbözik az OSSIM-től a naplókezelés, a felhő-infrastruktúra-figyelés, az automatizálás, valamint a frissített fenyegetésinformációk és -vizualizáció továbbfejlesztett funkcionalitásával.
Előnyei
- Bevált nyílt forráskódú projektekre épül;
- Felhasználók és fejlesztők nagy közössége.
Korlátozások
- Nem támogatja a felhőplatformok (például AWS vagy Azure) figyelését;
- Nincs naplókezelés, vizualizáció, automatizálás vagy integráció harmadik féltől származó szolgáltatásokkal.
MozDef (Mozilla Defense Platform)
A Mozilla által kifejlesztett MozDef SIEM rendszer a biztonsági incidens-feldolgozási folyamatok automatizálására szolgál. A rendszert az alapoktól kezdve úgy tervezték, hogy maximális teljesítményt, méretezhetőséget és hibatűrést érjenek el, mikroszolgáltatási architektúrával – minden szolgáltatás Docker-tárolóban fut.
Az OSSIM-hez hasonlóan a MozDef is jól bevált nyílt forráskódú projektekre épül, beleértve az Elasticsearch naplóindexelő és kereső modult, a Meteor platformot a rugalmas webes felület felépítéséhez, valamint a Kibana beépülő modult a vizualizációhoz és ábrázoláshoz.
Az eseménykorreláció és a riasztás az Elasticsearch lekérdezések segítségével történik, amely lehetővé teszi saját eseményfeldolgozási és riasztási szabályok megírását a Python használatával. A Mozilla szerint a MozDef naponta több mint 300 millió eseményt tud feldolgozni. A MozDef csak JSON formátumú eseményeket fogad el, de van integráció harmadik féltől származó szolgáltatásokkal.
Előnyei
- Nem használ ügynököket – szabványos JSON-naplókkal működik;
- Könnyen skálázható a mikroszolgáltatási architektúrának köszönhetően;
- Támogatja a felhőszolgáltatás adatforrásait, beleértve az AWS CloudTrail-t és a GuardDuty-t.
Korlátozások
- Új és kevésbé kiépített rendszer.
Wazuh
A Wazuh az egyik legnépszerűbb nyílt forráskódú SIEM, az OSSEC elágazásaként kezdte meg a fejlesztést. És most ez a saját egyedi megoldása új funkciókkal, hibajavításokkal és optimalizált architektúrával.
A rendszer az ElasticStack veremre épül (Elasticsearch, Logstash, Kibana), és támogatja mind az ügynök alapú adatgyűjtést, mind a rendszernaplózást. Ez hatékonysá teszi a naplókat generáló, de ügynöktelepítést nem támogató eszközök – hálózati eszközök, nyomtatók és perifériák – megfigyelésére.
A Wazuh támogatja a meglévő OSSEC-ügynököket, és még útmutatást is ad az OSSEC-ről a Wazuh-ra való átálláshoz. Bár az OSSEC továbbra is aktívan támogatott, a Wazuh az OSSEC folytatásának tekinthető az új webes felület, a REST API, a teljesebb szabálykészlet és sok más fejlesztés miatt.
Előnyei
- A népszerű SIEM OSSEC-en alapul és azzal kompatibilis;
- Különféle telepítési lehetőségeket támogat: Docker, Puppet, Chef, Ansible;
- Támogatja a felhőszolgáltatások figyelését, beleértve az AWS-t és az Azure-t;
- Átfogó szabálykészletet tartalmaz a többféle támadás észlelésére, és lehetővé teszi azok összehasonlítását a PCI DSS v3.1 és CIS szerint.
- Integrálható a Splunk naplótároló és elemző rendszerrel az események megjelenítéséhez és az API támogatásához.
Korlátozások
- Összetett architektúra – a Wazuh háttér-összetevői mellett teljes Elastic Stack telepítést igényel.
Prelude OS
A Prelude OSS a kereskedelmi Prelude SIEM nyílt forráskódú változata, amelyet a francia CS cég fejlesztett ki. A megoldás egy rugalmas, moduláris SIEM-rendszer, amely több naplóformátumot is támogat, integrálható olyan külső eszközökkel, mint az OSSEC, a Snort és a Suricata hálózatészlelő rendszer.
Minden esemény IDMEF formátumot használó üzenetté normalizálódik, ami leegyszerűsíti az adatcserét más rendszerekkel. De van egy légy a kenőcsben – a Prelude OSS teljesítménye és funkcionalitása nagyon korlátozott a Prelude SIEM kereskedelmi verziójához képest, és inkább kis projektekhez vagy SIEM-megoldások tanulmányozására és a Prelude SIEM értékelésére szolgál.
Előnyei
- Időben tesztelt rendszer, 1998 óta fejlesztették;
- Számos különböző naplóformátumot támogat;
- Normalizálja az adatokat IMDEF formátumba, megkönnyítve az adatok átvitelét más biztonsági rendszerekbe.
Korlátozások
- Jelentősen korlátozott a funkcionalitás és a teljesítmény a többi nyílt forráskódú SIEM rendszerhez képest.
Sagan
A Sagan egy nagy teljesítményű SIEM, amely a Snorttal való kompatibilitást hangsúlyozza. A Snorthoz írt szabályok támogatása mellett a Sagan írhat a Snort adatbázisba, és akár a Shuil felülettel is használható. Lényegében ez egy könnyű, többszálas megoldás, amely új funkciókat kínál, miközben barátságos marad a Snort felhasználók számára.
Előnyei
- Teljesen kompatibilis a Snort adatbázissal, szabályokkal és felhasználói felülettel;
- A többszálas architektúra nagy teljesítményt biztosít.
Korlátozások
- Egy viszonylag fiatal projekt egy kis közösséggel;
- Összetett telepítési folyamat, amely magában foglalja a teljes SIEM forrásból történő felépítését.
Következtetés
A leírt SIEM rendszerek mindegyikének megvannak a maga sajátosságai és korlátai, ezért nem nevezhetők univerzális megoldásnak egyetlen szervezet számára sem. Ezek a megoldások azonban nyílt forráskódúak, így túlzott költségek nélkül telepíthetők, tesztelhetők és értékelhetők.
Milyen érdekességet olvashatsz még a blogon?
→
→
→
→
→
Iratkozzon fel a
Forrás: will.com