5 つのオープンソース セキュリティ イベント管理システム

優れた IT セキュリティ スペシャリストは、普通の IT セキュリティ スペシャリストとどう違うのでしょうか? いいえ、マネージャーのイゴールが昨日同僚のマリアに送ったメッセージの数をいつでも記憶から挙げることができるという事実によってではありません。 優れたセキュリティ専門家は、違反の可能性を事前に特定してリアルタイムで捕捉し、インシデントが継続しないようにあらゆる努力を払います。 セキュリティ イベント管理システム (SIEM、セキュリティ情報およびイベント管理から) を使用すると、違反行為の試みを迅速に記録してブロックするタスクが大幅に簡素化されます。

従来、SIEM システムは、情報セキュリティ管理システムとセキュリティ イベント管理システムを組み合わせていました。 このシステムの重要な機能は、セキュリティ イベントをリアルタイムで分析することで、既存の損害が発生する前にセキュリティ イベントに対応できるようになります。

SIEM システムの主なタスク:

• データの収集と正規化
• データ相関
• アラート
• 視覚化パネル
• データストレージの構成
• データの検索と分析
• 報告

SIEM システムの需要が高い理由

最近、情報システムに対する攻撃の複雑さと連携は大幅に増加しています。 同時に、ネットワークおよびホストベースの侵入検知システム、DLP システム、ウイルス対策システムとファイアウォール、脆弱性スキャナーなど、使用される情報セキュリティ ツールの複雑さもますます複雑になっています。 各セキュリティ ツールは、さまざまな詳細レベルのイベント ストリームを生成します。多くの場合、攻撃は、異なるシステムからのイベントが重複することによってのみ確認できます。

あらゆる種類の商用 SIEM システムについてはたくさんあります 書かれている, ただし、ユーザー数や受け入れられる保存データの量に人為的な制限がなく、拡張性とサポートも容易な、無料の本格的なオープンソース SIEM システムの概要を説明します。 これが、そのようなシステムの可能性を評価し、そのようなソリューションが会社のビジネス プロセスに統合する価値があるかどうかを判断するのに役立つことを願っています。

AlienVault OSSIM

AlienVault OSSIM は、主要な商用 SIEM システムの XNUMX つである AlienVault USM のオープンソース バージョンです。 OSSIM は、Snort ネットワーク侵入検知システム、Nagios ネットワークおよびホスト監視システム、OSSEC ホストベースの侵入検知システム、OpenVAS 脆弱性スキャナなど、いくつかのオープン ソース プロジェクトで構成されるフレームワークです。

デバイスを監視するには、ホストから syslog 形式でログを GELF プラットフォームに送信する AlienVault Agent が使用されます。または、Cloudflare Web サイトのリバース プロキシ サービスや Okta マルチ サービスなどのサードパーティ サービスとの統合にプラグインを使用できます。 -要素認証システム。

USM バージョンは OSSIM とは異なり、ログ管理、クラウド インフラストラクチャの監視、自動化、最新の脅威情報と視覚化のための機能が強化されています。

利点

• 実証済みのオープンソース プロジェクトに基づいて構築されています。
• ユーザーと開発者の大規模なコミュニティ。

制限事項

• クラウド プラットフォーム (AWS や Azure など) の監視はサポートされていません。
• ログ管理、視覚化、自動化、またはサードパーティ サービスとの統合はありません。

ソース

MozDef (Mozilla 防御プラットフォーム)

Mozilla が開発した MozDef SIEM システムは、セキュリティ インシデント処理プロセスを自動化するために使用されます。 このシステムは、マイクロサービス アーキテクチャを使用して、最大のパフォーマンス、スケーラビリティ、フォールト トレランスを実現するようにゼロから設計されており、各サービスは Docker コンテナ内で実行されます。

OSSIM と同様に、MozDef は、Elasticsearch ログのインデックス作成と検索モジュール、柔軟な Web インターフェイスを構築するための Meteor プラットフォーム、視覚化とプロットのための Kibana プラグインなど、実績のあるオープン ソース プロジェクトに基づいて構築されています。

イベントの関連付けとアラートは Elasticsearch クエリを使用して実行されます。これにより、Python を使用して独自のイベント処理およびアラート ルールを作成できます。 Mozilla によると、MozDef は 300 日あたり XNUMX 億以上のイベントを処理できます。 MozDef は JSON 形式のイベントのみを受け入れますが、サードパーティのサービスとの統合があります。

利点

• エージェントを使用しません - 標準の JSON ログで動作します。
• マイクロサービス アーキテクチャのおかげで簡単に拡張できます。
• AWS CloudTrail や GuardDuty などのクラウド サービス データ ソースをサポートします。

制限事項

• 新しい、まだ確立されていないシステム。

ソース

わず

Wazuh は、最も人気のあるオープンソース SIEM の XNUMX つである OSSEC のフォークとして開発を開始しました。 そして今では、新しい機能、バグ修正、最適化されたアーキテクチャを備えた独自のユニークなソリューションとなっています。

このシステムは ElasticStack スタック (Elasticsearch、Logstash、Kibana) 上に構築されており、エージェントベースのデータ収集とシステム ログの取り込みの両方をサポートしています。 これにより、ログを生成するがエージェントのインストールをサポートしないデバイス (ネットワーク デバイス、プリンター、周辺機器) を監視する場合に効果的になります。

Wazuh は既存の OSSEC エージェントをサポートし、OSSEC から Wazuh への移行に関するガイダンスも提供します。 OSSEC は依然として積極的にサポートされていますが、Wazuh は、新しい Web インターフェイス、REST API、より完全なルール セットの追加、およびその他の多くの改善点により、OSSEC の継続とみなされます。

利点

• 人気の SIEM OSSEC に基づいており、これと互換性があります。
• さまざまなインストール オプションをサポート: Docker、Puppet、Chef、Ansible。
• AWS や Azure などのクラウド サービスの監視をサポートします。
• 複数の種類の攻撃を検出するための包括的なルールのセットが含まれており、PCI DSS v3.1 および CIS に従ってそれらを比較できます。
• Splunk ログ ストレージおよび分析システムと統合して、イベントの視覚化と API サポートを実現します。

制限事項

• 複雑なアーキテクチャ - Wazuh バックエンド コンポーネントに加えて、完全な Elastic Stack デプロイが必要です。

ソース

プレリュードOS

Prelude OSS は、フランスの CS 社が開発した商用 Prelude SIEM のオープンソース バージョンです。 このソリューションは、複数のログ形式をサポートし、OSSEC、Snort、Suricata ネットワーク検出システムなどのサードパーティ ツールと統合する、柔軟なモジュール式 SIEM システムです。

各イベントは IDMEF 形式を使用してメッセージに正規化され、他のシステムとのデータ交換が簡素化されます。 しかし、軟膏にはハエがいます。Prelude OSS は、Prelude SIEM の商用バージョンと比較してパフォーマンスと機能が非常に制限されており、どちらかというと小規模プロジェクト、または SIEM ソリューションの研究と Prelude SIEM の評価を目的としています。

利点

• 1998 年以来開発され、実績のあるシステム。
• さまざまなログ形式をサポートします。
• データを IMDEF 形式に正規化し、他のセキュリティ システムへのデータ転送を容易にします。

制限事項

• 他のオープンソース SIEM システムと比較して、機能とパフォーマンスが大幅に制限されています。

ソース

セーガン

Sagan は、Snort との互換性を重視した高性能 SIEM です。 Snort 用に作成されたルールのサポートに加えて、Sagan は Snort データベースに書き込むことができ、Shuil インターフェイスで使用することもできます。 基本的に、これは Snort ユーザーにとって使いやすいものでありながら、新機能を提供する軽量のマルチスレッド ソリューションです。

利点

• Snort データベース、ルール、ユーザー インターフェイスと完全な互換性があります。
• マルチスレッド アーキテクチャにより高いパフォーマンスが提供されます。

制限事項

• コミュニティが小さい比較的若いプロジェクト。
• ソースから SIEM 全体を構築する複雑なインストール プロセス。

ソース

まとめ

ここで説明した SIEM システムにはそれぞれ独自の特性と制限があるため、どの組織にとっても普遍的なソリューションとは言えません。 ただし、これらのソリューションはオープンソースであるため、過度のコストをかけずに導入、テスト、評価を行うことができます。

このブログで他に何か興味深いものを読むことができますか? クラウド4Y

→ 地球全体の VNIITE: ソ連で「スマート ホーム」システムがどのように発明されたか
→ ニューラルインターフェイスが人類にどう役立つか
→ ロシア市場のサイバー保険
→ 光、カメラ...雲: 雲が映画業界をどのように変えるか
→ 雲の上のサッカー - ファッションかそれとも必然か?

購読してください Telegram次の記事を見逃さないように、 -channel をご覧ください。 私たちは週に XNUMX 回まで、ビジネスに関するもののみを書きます。

出所： habr.com