Kepiye pakar keamanan IT sing apik beda karo sing biasa? Ora, ora kanthi kasunyatan manawa dheweke bisa menehi jeneng saka memori jumlah pesen sing dikirim dening manajer Igor wingi menyang kancane Maria. Spesialis keamanan sing apik nyoba kanggo ngenali pelanggaran sing bisa ditindakake sadurunge lan nyekel ing wektu nyata, nggawe kabeh upaya kanggo mesthekake yen kedadeyan kasebut ora terus. Sistem manajemen acara keamanan (SIEM, saka informasi Keamanan lan manajemen acara) nyederhanakake tugas kanthi cepet ngrekam lan ngalangi upaya nglanggar.
Cara tradisional, sistem SIEM nggabungake sistem manajemen keamanan informasi lan sistem manajemen acara keamanan. Fitur penting sistem kasebut yaiku analisa acara keamanan ing wektu nyata, sing ngidini sampeyan nanggapi sadurunge karusakan sing ana.
Tugas utama sistem SIEM:
- Pangumpulan data lan normalisasi
- Korelasi Data
- Tandha
- Panel visualisasi
- Organisasi panyimpenan data
- Panelusuran lan Analisis Data
- Nglaporake
Alasan kanggo dikarepake dhuwur kanggo sistem SIEM
Bubar, kerumitan lan koordinasi serangan ing sistem informasi saya tambah akeh. Ing wektu sing padha, komplek piranti keamanan informasi sing digunakake uga dadi luwih rumit-sistem deteksi intrusi adhedhasar jaringan lan host, sistem DLP, sistem anti-virus lan firewall, pemindai kerentanan, lsp. Saben alat keamanan ngasilake aliran acara kanthi tingkat rincian sing beda-beda, lan asring serangan mung bisa dideleng kanthi acara tumpang tindih saka sistem sing beda.
Ana akeh babagan kabeh jinis sistem SIEM komersial , nanging kita kurban ringkesan Brief saka free, full-fledged open source sistem SIEM sing ora duwe watesan gawean ing nomer pangguna utawa volume ditampa data disimpen, lan uga gampang keukur lan didhukung. Muga-muga iki bakal mbantu ngevaluasi potensial sistem kasebut lan mutusake manawa solusi kasebut kudu diintegrasi menyang proses bisnis perusahaan.
AlienVault OSSIM
AlienVault OSSIM minangka versi open-source saka AlienVault USM, salah sawijining sistem SIEM komersial sing misuwur. OSSIM minangka kerangka kerja sing dumadi saka sawetara proyek open source, kalebu sistem deteksi gangguan jaringan Snort, jaringan Nagios lan sistem pemantauan host, sistem deteksi intrusi berbasis host OSSEC, lan pemindai kerentanan OpenVAS.
Kanggo ngawasi piranti, Agen AlienVault digunakake, sing ngirim log saka host ing format syslog menyang platform GELF, utawa plugin bisa digunakake kanggo integrasi karo layanan pihak katelu, kayata layanan proxy reverse situs web Cloudflare utawa Okta multi. - sistem otentikasi faktor.
Versi USM beda karo OSSIM kanthi fungsi sing luwih apik kanggo manajemen log, pemantauan infrastruktur awan, otomatisasi, lan informasi lan visualisasi ancaman sing dianyari.
Keuntungan
- Dibangun ing proyèk open-source buktiaken;
- Komunitas gedhe pangguna lan pangembang.
Kekurangan
- Ora ndhukung ngawasi platform maya (contone, AWS utawa Azure);
- Ora ana manajemen log, visualisasi, otomatisasi utawa integrasi karo layanan pihak katelu.
MozDef (Platform Pertahanan Mozilla)
Sistem MozDef SIEM sing dikembangake dening Mozilla digunakake kanggo ngotomatisasi proses pangolahan insiden keamanan. Sistem kasebut dirancang saka dhasar kanggo entuk kinerja maksimal, skalabilitas lan toleransi kesalahan, kanthi arsitektur microservice - saben layanan mlaku ing wadhah Docker.
Kaya OSSIM, MozDef dibangun ing proyek sumber terbuka sing diuji wektu, kalebu indeksasi log Elasticsearch lan modul telusuran, platform Meteor kanggo mbangun antarmuka web sing fleksibel, lan plugin Kibana kanggo visualisasi lan ngrancang.
Korelasi lan tandha acara ditindakake kanthi nggunakake pitakon Elasticsearch, sing ngidini sampeyan nulis aturan pamrosesan lan tandha acara dhewe nggunakake Python. Miturut Mozilla, MozDef bisa ngolah luwih saka 300 yuta acara saben dina. MozDef mung nampa acara ing format JSON, nanging ana integrasi karo layanan pihak katelu.
Keuntungan
- Ora nggunakake agen - dianggo karo log JSON standar;
- Gampang timbangan thanks kanggo arsitektur microservice;
- Ndhukung sumber data layanan awan kalebu AWS CloudTrail lan GuardDuty.
Kekurangan
- Sistem anyar lan kurang mantep.
Wazuh
Wazuh miwiti pangembangan minangka garpu OSSEC, salah sawijining SIEM open source sing paling populer. Lan saiki dadi solusi unik kanthi fungsi anyar, koreksi bug lan arsitektur sing dioptimalake.
Sistem kasebut dibangun ing tumpukan ElasticStack (Elasticsearch, Logstash, Kibana) lan ndhukung pengumpulan data adhedhasar agen lan ingestion log sistem. Iki ndadekake efektif kanggo ngawasi piranti sing ngasilake log nanging ora ndhukung instalasi agen - piranti jaringan, printer lan peripheral.
Wazuh ndhukung agen OSSEC sing ana lan malah menehi pandhuan babagan migrasi saka OSSEC menyang Wazuh. Sanajan OSSEC isih aktif didhukung, Wazuh katon minangka lanjutan saka OSSEC amarga tambahan antarmuka web anyar, REST API, aturan sing luwih lengkap, lan akeh dandan liyane.
Keuntungan
- Adhedhasar lan kompatibel karo SIEM OSSEC populer;
- Ndhukung macem-macem opsi instalasi: Docker, Puppet, Chef, Ansible;
- Ndhukung ngawasi layanan maya, kalebu AWS lan Azure;
- Kalebu pesawat lengkap aturan kanggo ndeteksi macem-macem jinis serangan lan ngijini sampeyan kanggo mbandhingakΓ© miturut PCI DSS v3.1 lan CIS.
- Integrasi karo panyimpenan log Splunk lan sistem analisis kanggo visualisasi acara lan support API.
Kekurangan
- Arsitèktur Komplek - mbutuhake penyebaran Elastic Stack lengkap saliyane komponen backend Wazuh.
Prelude OS
Prelude OSS minangka versi open-source saka komersial Prelude SIEM, dikembangake dening perusahaan Prancis CS. Solusi kasebut yaiku sistem SIEM modular fleksibel sing ndhukung macem-macem format log, integrasi karo piranti pihak katelu kayata OSSEC, Snort lan sistem deteksi jaringan Suricata.
Saben acara dinormalisasi dadi pesen nggunakake format IDMEF, sing nyederhanakake ijol-ijolan data karo sistem liyane. Nanging ana fly ing ointment - Prelude OSS banget winates ing kinerja lan fungsi dibandhingake versi komersial Prelude SIEM, lan dimaksudakΓ© luwih kanggo proyek cilik utawa kanggo sinau solusi SIEM lan ngevaluasi Prelude SIEM.
Keuntungan
- Sistem sing diuji wektu, dikembangake wiwit taun 1998;
- Ndhukung macem-macem format log;
- Normalisasi data menyang format IMDEF, supaya gampang nransfer data menyang sistem keamanan liyane.
Kekurangan
- Fungsi lan kinerja sing winates banget dibandhingake karo sistem SIEM open source liyane.
sagan
Sagan minangka SIEM kanthi kinerja dhuwur sing nandheske kompatibilitas karo Snort. Saliyane aturan ndhukung ditulis kanggo Snort, Sagan bisa nulis menyang database Snort lan malah bisa digunakake karo antarmuka Shuil. Ateges, iku solusi multi-Utas entheng sing nawakake fitur-fitur anyar nalika tetep loropaken kanggo pangguna Snort.
Keuntungan
- Kompatibel karo database Snort, aturan, lan antarmuka panganggo;
- Arsitektur multi-threaded nyedhiyakake kinerja dhuwur.
Kekurangan
- Proyek sing relatif enom karo komunitas cilik;
- Proses instalasi rumit sing melu mbangun kabeh SIEM saka sumber.
kesimpulan
Saben sistem SIEM sing diterangake nduweni ciri lan watesan dhewe, saengga ora bisa diarani solusi universal kanggo organisasi apa wae. Nanging, solusi kasebut minangka sumber terbuka, ngidini supaya disebarake, diuji, lan dievaluasi tanpa mbutuhake biaya sing akeh banget.
Apa maneh menarik sing bisa diwaca ing blog?
β
β
β
β
β
Langganan kita -saluran supaya sampeyan ora kantun artikel sabanjure! Kita nulis ora luwih saka kaping pindho saben minggu lan mung babagan bisnis.
Source: www.habr.com