Apa perbedaan antara spesialis keamanan TI yang baik dan spesialis biasa? Tidak, bukan karena fakta bahwa pada waktu tertentu dia dapat menyebutkan dari ingatannya jumlah pesan yang dikirimkan manajer Igor kemarin kepada rekannya Maria. Spesialis keamanan yang baik mencoba mengidentifikasi kemungkinan pelanggaran terlebih dahulu dan menangkapnya secara real time, melakukan segala upaya untuk memastikan bahwa insiden tersebut tidak berlanjut. Sistem manajemen peristiwa keamanan (SIEM, dari Informasi keamanan dan manajemen peristiwa) sangat menyederhanakan tugas mencatat dan memblokir setiap upaya pelanggaran dengan cepat.
Secara tradisional, sistem SIEM menggabungkan sistem manajemen keamanan informasi dan sistem manajemen kejadian keamanan. Fitur penting dari sistem ini adalah analisis peristiwa keamanan secara real-time, yang memungkinkan Anda meresponsnya sebelum kerusakan yang ada terjadi.
Tugas utama sistem SIEM:
- Pengumpulan dan normalisasi data
- Korelasi Data
- Peringatan
- Panel visualisasi
- Organisasi penyimpanan data
- Pencarian dan Analisis Data
- Pelaporan
Alasan tingginya permintaan sistem SIEM
Baru-baru ini, kompleksitas dan koordinasi serangan terhadap sistem informasi telah meningkat pesat. Pada saat yang sama, perangkat keamanan informasi yang digunakan juga semakin kompleksβsistem deteksi intrusi berbasis jaringan dan host, sistem DLP, sistem anti-virus dan firewall, pemindai kerentanan, dll. Setiap alat keamanan menghasilkan aliran peristiwa dengan tingkat detail yang berbeda-beda, dan sering kali serangan hanya dapat dilihat melalui peristiwa yang tumpang tindih dari sistem yang berbeda.
Ada banyak hal tentang semua jenis sistem SIEM komersial , namun kami menawarkan gambaran singkat tentang sistem SIEM open source gratis dan lengkap yang tidak memiliki batasan buatan pada jumlah pengguna atau volume data tersimpan yang diterima, dan juga mudah diskalakan dan didukung. Kami berharap hal ini akan membantu menilai potensi sistem tersebut dan memutuskan apakah solusi tersebut layak untuk diintegrasikan ke dalam proses bisnis perusahaan.
AlienVault OSSIM
AlienVault OSSIM adalah versi open-source dari AlienVault USM, salah satu sistem SIEM komersial terkemuka. OSSIM adalah kerangka kerja yang terdiri dari beberapa proyek sumber terbuka, termasuk sistem deteksi intrusi jaringan Snort, sistem pemantauan host dan jaringan Nagios, sistem deteksi intrusi berbasis host OSSEC, dan pemindai kerentanan OpenVAS.
Untuk memantau perangkat, Agen AlienVault digunakan, yang mengirimkan log dari host dalam format syslog ke platform GELF, atau plugin dapat digunakan untuk integrasi dengan layanan pihak ketiga, seperti layanan proxy balik situs web Cloudflare atau Okta multi -sistem otentikasi faktor.
Versi USM berbeda dari OSSIM dengan fungsionalitas yang ditingkatkan untuk manajemen log, pemantauan infrastruktur cloud, otomatisasi, serta informasi dan visualisasi ancaman yang diperbarui.
Keuntungan
- Dibangun berdasarkan proyek sumber terbuka yang telah terbukti;
- Komunitas besar pengguna dan pengembang.
Kekurangan:
- Tidak mendukung pemantauan platform cloud (misalnya, AWS atau Azure);
- Tidak ada manajemen log, visualisasi, otomatisasi, atau integrasi dengan layanan pihak ketiga.
MozDef (Platform Pertahanan Mozilla)
Sistem MozDef SIEM yang dikembangkan oleh Mozilla digunakan untuk mengotomatiskan proses pemrosesan insiden keamanan. Sistem ini dirancang dari awal untuk mencapai kinerja maksimum, skalabilitas, dan toleransi kesalahan, dengan arsitektur layanan mikro - setiap layanan berjalan dalam wadah Docker.
Seperti OSSIM, MozDef dibangun berdasarkan proyek sumber terbuka yang telah teruji waktu, termasuk modul pengindeksan dan pencarian log Elasticsearch, platform Meteor untuk membangun antarmuka web yang fleksibel, dan plugin Kibana untuk visualisasi dan pembuatan plot.
Korelasi dan peringatan peristiwa dilakukan menggunakan kueri Elasticsearch, yang memungkinkan Anda menulis aturan pemrosesan dan peringatan peristiwa Anda sendiri menggunakan Python. Menurut Mozilla, MozDef dapat memproses lebih dari 300 juta event per hari. MozDef hanya menerima event dalam format JSON, namun ada integrasi dengan layanan pihak ketiga.
Keuntungan
- Tidak menggunakan agen - berfungsi dengan log JSON standar;
- Menskalakan dengan mudah berkat arsitektur layanan mikro;
- Mendukung sumber data layanan cloud termasuk AWS CloudTrail dan GuardDuty.
Kekurangan:
- Sistem baru dan kurang mapan.
Wazuh
Wazuh memulai pengembangannya sebagai cabang dari OSSEC, salah satu SIEM open source paling populer. Dan sekarang ini adalah solusi uniknya sendiri dengan fungsionalitas baru, perbaikan bug, dan arsitektur yang dioptimalkan.
Sistem ini dibangun di atas tumpukan ElasticStack (Elasticsearch, Logstash, Kibana) dan mendukung pengumpulan data berbasis agen dan penyerapan log sistem. Hal ini membuatnya efektif untuk memantau perangkat yang menghasilkan log tetapi tidak mendukung instalasi agen - perangkat jaringan, printer, dan periferal.
Wazuh mendukung agen OSSEC yang ada dan bahkan memberikan panduan tentang migrasi dari OSSEC ke Wazuh. Meskipun OSSEC masih didukung secara aktif, Wazuh dipandang sebagai kelanjutan dari OSSEC karena penambahan antarmuka web baru, REST API, seperangkat aturan yang lebih lengkap, dan banyak perbaikan lainnya.
Keuntungan
- Berdasarkan dan kompatibel dengan SIEM OSSEC yang populer;
- Mendukung berbagai opsi instalasi: Docker, Puppet, Chef, Ansible;
- Mendukung pemantauan layanan cloud, termasuk AWS dan Azure;
- Termasuk seperangkat aturan komprehensif untuk mendeteksi berbagai jenis serangan dan memungkinkan Anda membandingkannya sesuai dengan PCI DSS v3.1 dan CIS.
- Terintegrasi dengan penyimpanan log Splunk dan sistem analisis untuk visualisasi peristiwa dan dukungan API.
Kekurangan:
- Arsitektur kompleks - memerlukan penerapan Elastic Stack penuh selain komponen backend Wazuh.
OS Pendahuluan
Prelude OSS adalah versi open-source dari Prelude SIEM komersial, yang dikembangkan oleh perusahaan Perancis CS. Solusinya adalah sistem SIEM modular yang fleksibel yang mendukung berbagai format log, integrasi dengan alat pihak ketiga seperti OSSEC, Snort, dan sistem deteksi jaringan Suricata.
Setiap peristiwa dinormalisasi menjadi pesan menggunakan format IDMEF, yang menyederhanakan pertukaran data dengan sistem lain. Namun ada kekurangannya - Prelude OSS sangat terbatas dalam kinerja dan fungsionalitas dibandingkan dengan versi komersial Prelude SIEM, dan lebih ditujukan untuk proyek kecil atau untuk mempelajari solusi SIEM dan mengevaluasi Prelude SIEM.
Keuntungan
- Sistem yang telah teruji waktu, dikembangkan sejak tahun 1998;
- Mendukung banyak format log yang berbeda;
- Menormalkan data ke format IMDEF, sehingga memudahkan transfer data ke sistem keamanan lainnya.
Kekurangan:
- Fungsionalitas dan kinerjanya sangat terbatas dibandingkan dengan sistem SIEM sumber terbuka lainnya.
Sagan
Sagan adalah SIEM berkinerja tinggi yang menekankan kompatibilitas dengan Snort. Selain mendukung aturan yang ditulis untuk Snort, Sagan dapat menulis ke database Snort dan bahkan dapat digunakan dengan antarmuka Shuil. Pada dasarnya, ini adalah solusi multi-thread ringan yang menawarkan fitur-fitur baru namun tetap ramah bagi pengguna Snort.
Keuntungan
- Sepenuhnya kompatibel dengan database Snort, aturan, dan antarmuka pengguna;
- Arsitektur multi-thread memberikan kinerja tinggi.
Kekurangan:
- Sebuah proyek yang relatif muda dengan komunitas kecil;
- Proses instalasi kompleks yang melibatkan pembangunan seluruh SIEM dari sumber.
Kesimpulan
Masing-masing sistem SIEM yang dijelaskan memiliki karakteristik dan keterbatasannya masing-masing, sehingga tidak dapat disebut sebagai solusi universal untuk organisasi mana pun. Namun, solusi ini bersifat open source, sehingga memungkinkan untuk diterapkan, diuji, dan dievaluasi tanpa menimbulkan biaya berlebihan.
Hal menarik apa lagi yang bisa Anda baca di blog?
β
β
β
β
β
Berlangganan kami -channel, agar tidak ketinggalan artikel selanjutnya! Kami menulis tidak lebih dari dua kali seminggu dan hanya untuk bisnis.
Sumber: www.habr.com