Жақсы АТ-қауіпсіздік маманы қарапайым маманнан несімен ерекшеленеді? Жоқ, ол менеджер Игорь кеше өзінің әріптесі Марияға жіберген хабарламаларының санын кез келген уақытта есте сақтай алатындығына байланысты емес. Жақсы қауіпсіздік маманы ықтимал бұзушылықтарды алдын ала анықтауға және оларды нақты уақыт режимінде ұстауға тырысады, бұл оқиғаның жалғаспауы үшін бар күш-жігерін салады. Қауіпсіздік оқиғаларын басқару жүйелері (SIEM, Қауіпсіздік туралы ақпарат және оқиғаларды басқарудан) кез келген әрекетті бұзу әрекеттерін жылдам жазу және блоктау тапсырмасын айтарлықтай жеңілдетеді.
Дәстүрлі түрде SIEM жүйелері ақпараттық қауіпсіздікті басқару жүйесі мен қауіпсіздік оқиғаларын басқару жүйесін біріктіреді. Жүйелердің маңызды ерекшелігі нақты уақыт режимінде қауіпсіздік оқиғаларын талдау болып табылады, ол сізге бар зақымдар пайда болғанға дейін оларға жауап беруге мүмкіндік береді.
SIEM жүйелерінің негізгі міндеттері:
- Мәліметтерді жинау және нормалау
- Деректер корреляциясы
- Ескерту
- Визуализация тақталары
- Мәліметтерді сақтауды ұйымдастыру
- Деректерді іздеу және талдау
- Есеп беру
SIEM жүйелеріне сұраныстың жоғары болуының себептері
Соңғы уақытта ақпараттық жүйелерге шабуылдардың күрделілігі мен үйлестірілуі айтарлықтай өсті. Сонымен қатар, қолданылатын ақпараттық қауіпсіздік құралдарының кешені де күрделене түсуде — желілік және хост негізіндегі шабуылды анықтау жүйелері, DLP жүйелері, антивирустық жүйелер мен желіаралық қалқандар, осалдық сканерлері және т.б. Әрбір қауіпсіздік құралы егжей-тегжейлі деңгейлері әртүрлі оқиғалар ағынын жасайды және көбінесе шабуылды әртүрлі жүйелердегі оқиғалардың қабаттасуы арқылы ғана көруге болады.
Коммерциялық SIEM жүйелерінің барлық түрлері туралы көп нәрсе бар , бірақ біз пайдаланушылар санына немесе қабылданған сақталған деректер көлеміне жасанды шектеулері жоқ, сонымен қатар оңай масштабталатын және қолдау көрсетілетін тегін, толыққанды ашық бастапқы SIEM жүйелеріне қысқаша шолуды ұсынамыз. Бұл осындай жүйелердің әлеуетін бағалауға және мұндай шешімдерді компанияның бизнес-процестеріне біріктіруге тұрарлық-болмайтынын шешуге көмектеседі деп үміттенеміз.
AlienVault OSSIM
AlienVault OSSIM — AlienVault USM бағдарламасының ашық бастапқы нұсқасы, жетекші коммерциялық SIEM жүйелерінің бірі. OSSIM – Snort желісінің енуін анықтау жүйесін, Nagios желісін және хост бақылау жүйесін, OSSEC хост негізіндегі шабуылды анықтау жүйесін және OpenVAS осалдық сканерін қоса алғанда, бірнеше ашық бастапқы жобалардан тұратын құрылым.
Құрылғыларды бақылау үшін хосттан журналдарды GELF платформасына syslog пішімінде жіберетін AlienVault агенті пайдаланылады немесе плагин Cloudflare веб-сайтының кері прокси қызметі немесе Okta multi сияқты үшінші тарап қызметтерімен біріктіру үшін пайдаланылуы мүмкін. -факторлық аутентификация жүйесі.
USM нұсқасы журналды басқаруға, бұлттық инфрақұрылымды бақылауға, автоматтандыруға және жаңартылған қауіп ақпараты мен визуализацияға арналған кеңейтілген функционалдығы бар OSSIM нұсқасынан ерекшеленеді.
артықшылықтары
- Дәлелденген ашық бастапқы жобаларға негізделген;
- Пайдаланушылар мен әзірлеушілердің үлкен қауымдастығы.
кемшіліктер
- Бұлттық платформалардың мониторингін қолдамайды (мысалы, AWS немесе Azure);
- Журналды басқару, визуализация, автоматтандыру немесе үшінші тарап қызметтерімен біріктіру жоқ.
MozDef (Mozilla қорғаныс платформасы)
Mozilla әзірлеген MozDef SIEM жүйесі қауіпсіздік инциденттерін өңдеу процестерін автоматтандыру үшін қолданылады. Жүйе микросервис архитектурасымен максималды өнімділікке, масштабтауға және ақауларға төзімділікке қол жеткізу үшін басынан бастап жасалған - әрбір қызмет Docker контейнерінде жұмыс істейді.
OSSIM сияқты, MozDef де Elasticsearch журналын индекстеу және іздеу модулін, икемді веб-интерфейсті құруға арналған Meteor платформасын және визуализация мен жоспарлауға арналған Kibana плагинін қоса алғанда, уақытпен тексерілген ашық бастапқы жобаларға негізделген.
Оқиғалардың корреляциясы және ескертуі Python көмегімен жеке оқиғаларды өңдеу және ескерту ережелерін жазуға мүмкіндік беретін Elasticsearch сұраулары арқылы орындалады. Mozilla мәліметтері бойынша, MozDef күніне 300 миллионнан астам оқиғаны өңдей алады. MozDef тек JSON пішіміндегі оқиғаларды қабылдайды, бірақ үшінші тарап қызметтерімен интеграция бар.
артықшылықтары
- Агенттерді пайдаланбайды - стандартты JSON журналдарымен жұмыс істейді;
- Микросервис архитектурасы арқасында оңай масштабталады;
- AWS CloudTrail және GuardDuty қоса алғанда, бұлттық қызмет деректер көздерін қолдайды.
кемшіліктер
- Жаңа және азырақ қалыптасқан жүйе.
Вазух
Wazuh ең танымал ашық бастапқы SIEMs бірі болып табылатын OSSEC шанышқысы ретінде дамуды бастады. Енді бұл жаңа функционалдылық, қателерді түзету және оңтайландырылған архитектурасы бар өзіндік бірегей шешім.
Жүйе ElasticStack стекіне (Elasticsearch, Logstash, Kibana) құрылған және агент негізіндегі деректерді жинауды және жүйе журналын қабылдауды қолдайды. Бұл оны журналдарды жасайтын, бірақ агентті орнатуды қолдамайтын бақылау құрылғылары үшін тиімді етеді - желілік құрылғылар, принтерлер және перифериялық құрылғылар.
Wazuh бар OSSEC агенттерін қолдайды және тіпті OSSEC-тен Wazuh-қа көшу бойынша нұсқаулық береді. OSSEC әлі де белсенді түрде қолдау көрсетілсе де, Wazuh жаңа веб-интерфейс, REST API, ережелердің толық жиынтығы және басқа да көптеген жақсартулардың қосылуына байланысты OSSEC-тің жалғасы ретінде қарастырылады.
артықшылықтары
- Танымал SIEM OSSEC негізінде және үйлесімді;
- Әр түрлі орнату опцияларын қолдайды: Docker, Puppet, Chef, Ansible;
- AWS және Azure қоса алғанда, бұлттық қызметтердің мониторингін қолдайды;
- Шабуылдардың бірнеше түрін анықтауға арналған ережелердің толық жиынтығын қамтиды және оларды PCI DSS v3.1 және CIS сәйкес салыстыруға мүмкіндік береді.
- Оқиға визуализациясы және API қолдауы үшін Splunk журналын сақтау және талдау жүйесімен біріктірілген.
кемшіліктер
- Күрделі архитектура - Wazuh серверлік құрамдастарына қосымша толық Elastic Stack орналастыруды қажет етеді.
Прелюдия ОЖ
Prelude OSS — француздық CS компаниясы әзірлеген коммерциялық Prelude SIEM бағдарламасының ашық бастапқы нұсқасы. Шешім бірнеше журнал пішімдерін, OSSEC, Snort және Suricata желісін анықтау жүйесі сияқты үшінші тарап құралдарымен интеграцияны қолдайтын икемді, модульдік SIEM жүйесі болып табылады.
Әрбір оқиға басқа жүйелермен деректер алмасуды жеңілдететін IDMEF пішімі арқылы хабарламаға қалыпқа келтіріледі. Бірақ жақпада шыбын бар - Prelude OSS Prelude SIEM коммерциялық нұсқасымен салыстырғанда өнімділігі мен функционалдығы жағынан өте шектеулі және шағын жобаларға немесе SIEM шешімдерін зерттеуге және Prelude SIEM бағалауына көбірек арналған.
артықшылықтары
- 1998 жылдан бері әзірленген уақытпен тексерілген жүйе;
- Көптеген әртүрлі журнал пішімдерін қолдайды;
- Деректерді IMDEF пішіміне қалыпқа келтіріп, деректерді басқа қауіпсіздік жүйелеріне тасымалдауды жеңілдетеді.
кемшіліктер
- Басқа ашық бастапқы SIEM жүйелерімен салыстырғанда функционалдылық пен өнімділікте айтарлықтай шектеулі.
Саган
Sagan - Snort-пен үйлесімділікке баса назар аударатын жоғары өнімді SIEM. Snort үшін жазылған қолдау ережелерінен басқа, Саган Snort дерекқорына жаза алады және оны тіпті Shuil интерфейсімен пайдалануға болады. Негізінде, бұл Snort пайдаланушыларына қолайлы бола отырып, жаңа мүмкіндіктерді ұсынатын жеңіл көп ағынды шешім.
артықшылықтары
- Snort дерекқорымен, ережелерімен және пайдаланушы интерфейсімен толық үйлесімді;
- Көп ағынды архитектура жоғары өнімділікті қамтамасыз етеді.
кемшіліктер
- Шағын қауымдастық бар салыстырмалы түрде жас жоба;
- Бүкіл SIEM-ді көзден құруды қамтитын күрделі орнату процесі.
қорытынды
Сипатталған SIEM жүйелерінің әрқайсысының өзіндік сипаттамалары мен шектеулері бар, сондықтан оларды кез келген ұйым үшін әмбебап шешім деп атауға болмайды. Дегенмен, бұл шешімдер ашық бастапқы болып табылады, бұл оларды шамадан тыс шығындарсыз орналастыруға, сынауға және бағалауға мүмкіндік береді.
Блогта тағы қандай қызықты оқуға болады?
→
→
→
→
→
Біздің жазылым Келесі мақаланы жіберіп алмау үшін арна! Біз аптасына екі реттен көп емес және тек бизнес бойынша жазамыз.
Ақпарат көзі: www.habr.com