Hvernig er góður sérfræðingur í upplýsingatækniöryggi frábrugðinn venjulegum? Nei, ekki af því að hann geti á hverjum tíma nefnt eftir minni fjölda skeyta sem framkvæmdastjórinn Igor sendi í gær til Maríu kollega sinnar. Góður öryggissérfræðingur reynir að bera kennsl á hugsanleg brot fyrirfram og ná þeim í rauntíma og leitast við að tryggja að atvikið haldi ekki áfram. Öryggisviðburðastjórnunarkerfi (SIEM, frá Öryggisupplýsingum og viðburðastjórnun) einfalda mjög það verkefni að skrá fljótt og loka fyrir allar tilraunir til brota.
Hefð er fyrir því að SIEM kerfi sameina upplýsingaöryggisstjórnunarkerfi og öryggisatburðastjórnunarkerfi. Mikilvægur eiginleiki kerfanna er greining á öryggisatburðum í rauntíma, sem gerir þér kleift að bregðast við þeim áður en núverandi skemmdir verða.
Helstu verkefni SIEM kerfa:
- Gagnasöfnun og staðhæfing
- Gagnafylgni
- Viðvörun
- Sjónræn spjöld
- Skipulag gagnageymslu
- Gagnaleit og greining
- Skýrslugerð
Ástæður fyrir mikilli eftirspurn eftir SIEM kerfum
Að undanförnu hefur margbreytileiki og samhæfing árása á upplýsingakerfi aukist til muna. Á sama tíma er flókið upplýsingaöryggisverkfæra sem notað er einnig að verða flóknara — net- og hýsiltengd innbrotsskynjunarkerfi, DLP kerfi, vírusvarnarkerfi og eldveggir, varnarleysisskanna osfrv. Hvert öryggistól býr til straum atburða með mismunandi smáatriðum og oft er árás aðeins hægt að sjá með því að skarast atburði frá mismunandi kerfum.
Það er mikið um alls kyns SIEM kerfi í atvinnuskyni , en við bjóðum upp á stutt yfirlit yfir ókeypis, fullgild opinn uppspretta SIEM kerfi sem hafa ekki gervitakmarkanir á fjölda notenda eða magn samþykktra geymdra gagna, og eru einnig auðvelt að skala og styðja. Við vonum að þetta muni hjálpa til við að meta möguleika slíkra kerfa og ákveða hvort slíkar lausnir séu þess virði að samþætta þær í viðskiptaferli fyrirtækisins.
AlienVault OSSIM
AlienVault OSSIM er opinn uppspretta útgáfa af AlienVault USM, einu af leiðandi SIEM kerfum í atvinnuskyni. OSSIM er rammi sem samanstendur af nokkrum opnum uppsprettu verkefnum, þar á meðal Snort net árásarskynjunarkerfi, Nagios netkerfi og hýsilvöktunarkerfi, OSSEC hýsiltengt innbrotsskynjunarkerfi og OpenVAS varnarleysisskanna.
Til að fylgjast með tækjum er AlienVault Agent notaður, sem sendir annála frá hýsingaraðilanum á syslog sniði til GELF vettvangsins, eða viðbót er hægt að nota til að samþætta við þjónustu þriðja aðila, eins og Cloudflare vefsíðuna öfuga proxy þjónustu eða Okta multi -þátta auðkenningarkerfi.
USM útgáfan er frábrugðin OSSIM með aukinni virkni fyrir annálastjórnun, vöktun skýjainnviða, sjálfvirkni og uppfærðar upplýsingar um ógn og sjón.
Kostir
- Byggt á sannreyndum opnum verkefnum;
- Stórt samfélag notenda og þróunaraðila.
Takmarkanir
- Styður ekki eftirlit með skýjapöllum (til dæmis AWS eða Azure);
- Það er engin logastjórnun, sjónræning, sjálfvirkni eða samþætting við þjónustu þriðja aðila.
MozDef (Mozilla Defence Platform)
MozDef SIEM kerfið þróað af Mozilla er notað til að gera sjálfvirkan vinnsluferla öryggisatvika. Kerfið er hannað frá grunni til að ná hámarks afköstum, sveigjanleika og bilanaþoli, með örþjónustuarkitektúr - hver þjónusta keyrir í Docker gámi.
Líkt og OSSIM er MozDef byggt á tímaprófuðum opnum uppsprettu verkefnum, þar á meðal Elasticsearch skráningar- og leitareiningunni, Meteor vettvangnum til að byggja upp sveigjanlegt vefviðmót og Kibana viðbótinni fyrir sjón og teikningu.
Atburðafylgni og viðvörun eru framkvæmd með því að nota Elasticsearch fyrirspurnir, sem gerir þér kleift að skrifa þínar eigin atburðavinnslu- og viðvörunarreglur með Python. Samkvæmt Mozilla getur MozDef unnið úr meira en 300 milljón atburðum á dag. MozDef tekur aðeins við viðburðum á JSON sniði, en það er samþætting við þjónustu þriðja aðila.
Kostir
- Notar ekki umboðsmenn - vinnur með stöðluðum JSON logs;
- Auðveldlega skalast þökk sé örþjónustuarkitektúr;
- Styður gagnaveitur skýjaþjónustu, þar á meðal AWS CloudTrail og GuardDuty.
Takmarkanir
- Nýtt og minna rótgróið kerfi.
Wazuh
Wazuh hóf þróun sem gaffal OSSEC, einn af vinsælustu opnum SIEMs. Og nú er það hennar eigin einstaka lausn með nýrri virkni, villuleiðréttingum og bjartsýni arkitektúr.
Kerfið er byggt á ElasticStack staflanum (Elasticsearch, Logstash, Kibana) og styður bæði gagnasöfnun umboðsmanna og inntöku kerfisskrár. Þetta gerir það skilvirkt fyrir eftirlitstæki sem búa til annála en styðja ekki uppsetningu umboðsmanna - nettæki, prentara og jaðartæki.
Wazuh styður núverandi OSSEC umboðsmenn og veitir jafnvel leiðbeiningar um flutning frá OSSEC til Wazuh. Þrátt fyrir að OSSEC sé enn virkur studdur er litið á Wazuh sem framhald af OSSEC vegna þess að nýtt vefviðmót, REST API, fullkomnari reglum og mörgum öðrum endurbótum hefur verið bætt við.
Kostir
- Byggt á og samhæft við hið vinsæla SIEM OSSEC;
- Styður ýmsa uppsetningarvalkosti: Docker, Puppet, Chef, Ansible;
- Styður eftirlit með skýjaþjónustu, þar á meðal AWS og Azure;
- Inniheldur yfirgripsmikið sett af reglum til að greina margar tegundir árása og gerir þér kleift að bera þær saman í samræmi við PCI DSS v3.1 og CIS.
- Samþættast við Splunk annálageymslu- og greiningarkerfi fyrir sjónræna atburði og API stuðning.
Takmarkanir
- Flókinn arkitektúr - krefst fullrar teygjanlegrar stafla dreifingar auk Wazuh bakenda íhluta.
Prelude OS
Prelude OSS er opinn uppspretta útgáfa af auglýsingunni Prelude SIEM, þróuð af franska fyrirtækinu CS. Lausnin er sveigjanlegt, mát SIEM kerfi sem styður mörg log snið, samþættingu við þriðja aðila verkfæri eins og OSSEC, Snort og Suricata netgreiningarkerfið.
Hver atburður er staðlaður í skilaboð með IDMEF sniði, sem einfaldar gagnaskipti við önnur kerfi. En það er fluga í smyrslinu - Prelude OSS er mjög takmarkað hvað varðar frammistöðu og virkni miðað við auglýsinguna af Prelude SIEM, og er meira ætlað fyrir lítil verkefni eða til að rannsaka SIEM lausnir og meta Prelude SIEM.
Kostir
- Tímaprófað kerfi, þróað síðan 1998;
- Styður mörg mismunandi annálasnið;
- Samræmir gögn á IMDEF snið, sem gerir það auðvelt að flytja gögn yfir í önnur öryggiskerfi.
Takmarkanir
- Verulega takmörkuð í virkni og frammistöðu miðað við önnur opinn SIEM kerfi.
sagan
Sagan er afkastamikið SIEM sem leggur áherslu á samhæfni við Snort. Auk þess að styðja reglur sem skrifaðar eru fyrir Snort getur Sagan skrifað í Snort gagnagrunninn og jafnvel hægt að nota með Shuil viðmótinu. Í meginatriðum er þetta létt fjölþráða lausn sem býður upp á nýja eiginleika en er áfram vingjarnlegur fyrir Snort notendur.
Kostir
- Fullkomlega samhæft við Snort gagnagrunn, reglur og notendaviðmót;
- Margþráður arkitektúr veitir mikla afköst.
Takmarkanir
- Tiltölulega ungt verkefni með litlu samfélagi;
- Flókið uppsetningarferli sem felur í sér að byggja allt SIEM frá uppruna.
Ályktun
Hvert SIEM kerfanna sem lýst er hefur sín sérkenni og takmarkanir, svo þau geta ekki verið kallað alhliða lausn fyrir neina stofnun. Hins vegar eru þessar lausnir opinn uppspretta, sem gerir þeim kleift að dreifa, prófa og meta án þess að hafa of mikinn kostnað í för með sér.
Hvað annað áhugavert er hægt að lesa á blogginu?
→
→
→
→
→
Gerast áskrifandi að okkar -rás svo þú missir ekki af næstu grein! Við skrifum ekki oftar en tvisvar í viku og aðeins í viðskiptum.
Heimild: www.habr.com