ಉತ್ತಮ ಐಟಿ ಭದ್ರತಾ ತಜ್ಞರು ಸಾಮಾನ್ಯರಿಂದ ಹೇಗೆ ಭಿನ್ನರಾಗಿದ್ದಾರೆ? ಇಲ್ಲ, ಯಾವುದೇ ಸಮಯದಲ್ಲಿ ಮ್ಯಾನೇಜರ್ ಇಗೊರ್ ತನ್ನ ಸಹೋದ್ಯೋಗಿ ಮಾರಿಯಾಗೆ ನಿನ್ನೆ ಕಳುಹಿಸಿದ ಸಂದೇಶಗಳ ಸಂಖ್ಯೆಯನ್ನು ಮೆಮೊರಿಯಿಂದ ಹೆಸರಿಸಬಹುದು ಎಂಬ ಅಂಶದಿಂದ ಅಲ್ಲ. ಉತ್ತಮ ಭದ್ರತಾ ತಜ್ಞರು ಸಂಭವನೀಯ ಉಲ್ಲಂಘನೆಗಳನ್ನು ಮುಂಚಿತವಾಗಿ ಗುರುತಿಸಲು ಮತ್ತು ನೈಜ ಸಮಯದಲ್ಲಿ ಅವುಗಳನ್ನು ಹಿಡಿಯಲು ಪ್ರಯತ್ನಿಸುತ್ತಾರೆ, ಘಟನೆಯು ಮುಂದುವರಿಯುವುದಿಲ್ಲ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಎಲ್ಲ ಪ್ರಯತ್ನಗಳನ್ನು ಮಾಡುತ್ತಾರೆ. ಭದ್ರತಾ ಈವೆಂಟ್ ಮ್ಯಾನೇಜ್ಮೆಂಟ್ ಸಿಸ್ಟಮ್ಗಳು (SIEM, ಭದ್ರತಾ ಮಾಹಿತಿ ಮತ್ತು ಈವೆಂಟ್ ಮ್ಯಾನೇಜ್ಮೆಂಟ್ನಿಂದ) ಯಾವುದೇ ಪ್ರಯತ್ನದ ಉಲ್ಲಂಘನೆಗಳನ್ನು ತ್ವರಿತವಾಗಿ ರೆಕಾರ್ಡ್ ಮಾಡುವ ಮತ್ತು ನಿರ್ಬಂಧಿಸುವ ಕಾರ್ಯವನ್ನು ಹೆಚ್ಚು ಸರಳಗೊಳಿಸುತ್ತದೆ.
ಸಾಂಪ್ರದಾಯಿಕವಾಗಿ, SIEM ವ್ಯವಸ್ಥೆಗಳು ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆ ಮತ್ತು ಭದ್ರತಾ ಈವೆಂಟ್ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಯನ್ನು ಸಂಯೋಜಿಸುತ್ತವೆ. ವ್ಯವಸ್ಥೆಗಳ ಪ್ರಮುಖ ಲಕ್ಷಣವೆಂದರೆ ನೈಜ ಸಮಯದಲ್ಲಿ ಭದ್ರತಾ ಘಟನೆಗಳ ವಿಶ್ಲೇಷಣೆ, ಇದು ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಹಾನಿ ಸಂಭವಿಸುವ ಮೊದಲು ಅವರಿಗೆ ಪ್ರತಿಕ್ರಿಯಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
SIEM ವ್ಯವಸ್ಥೆಗಳ ಮುಖ್ಯ ಕಾರ್ಯಗಳು:
- ಡೇಟಾ ಸಂಗ್ರಹಣೆ ಮತ್ತು ಸಾಮಾನ್ಯೀಕರಣ
- ಡೇಟಾ ಪರಸ್ಪರ ಸಂಬಂಧ
- ಎಚ್ಚರಿಕೆ
- ದೃಶ್ಯೀಕರಣ ಫಲಕಗಳು
- ಡೇಟಾ ಸಂಗ್ರಹಣೆಯ ಸಂಘಟನೆ
- ಡೇಟಾ ಹುಡುಕಾಟ ಮತ್ತು ವಿಶ್ಲೇಷಣೆ
- ವರದಿ ಮಾಡಲಾಗುತ್ತಿದೆ
SIEM ವ್ಯವಸ್ಥೆಗಳಿಗೆ ಹೆಚ್ಚಿನ ಬೇಡಿಕೆಗೆ ಕಾರಣಗಳು
ಇತ್ತೀಚೆಗೆ, ಮಾಹಿತಿ ವ್ಯವಸ್ಥೆಗಳ ಮೇಲಿನ ದಾಳಿಯ ಸಂಕೀರ್ಣತೆ ಮತ್ತು ಸಮನ್ವಯವು ಹೆಚ್ಚು ಹೆಚ್ಚಾಗಿದೆ. ಅದೇ ಸಮಯದಲ್ಲಿ, ಬಳಸಿದ ಮಾಹಿತಿ ಭದ್ರತಾ ಸಾಧನಗಳ ಸಂಕೀರ್ಣವು ಹೆಚ್ಚು ಸಂಕೀರ್ಣವಾಗುತ್ತಿದೆ-ನೆಟ್ವರ್ಕ್ ಮತ್ತು ಹೋಸ್ಟ್-ಆಧಾರಿತ ಒಳನುಗ್ಗುವಿಕೆ ಪತ್ತೆ ವ್ಯವಸ್ಥೆಗಳು, DLP ವ್ಯವಸ್ಥೆಗಳು, ಆಂಟಿ-ವೈರಸ್ ಸಿಸ್ಟಮ್ಗಳು ಮತ್ತು ಫೈರ್ವಾಲ್ಗಳು, ದುರ್ಬಲತೆ ಸ್ಕ್ಯಾನರ್ಗಳು ಇತ್ಯಾದಿ. ಪ್ರತಿಯೊಂದು ಭದ್ರತಾ ಸಾಧನವು ವಿಭಿನ್ನ ಹಂತದ ವಿವರಗಳೊಂದಿಗೆ ಈವೆಂಟ್ಗಳ ಸ್ಟ್ರೀಮ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ ಮತ್ತು ವಿವಿಧ ವ್ಯವಸ್ಥೆಗಳಿಂದ ಈವೆಂಟ್ಗಳನ್ನು ಅತಿಕ್ರಮಿಸುವ ಮೂಲಕ ಮಾತ್ರ ಆಕ್ರಮಣವನ್ನು ಕಾಣಬಹುದು.
ಎಲ್ಲಾ ರೀತಿಯ ವಾಣಿಜ್ಯ SIEM ವ್ಯವಸ್ಥೆಗಳ ಬಗ್ಗೆ ಸಾಕಷ್ಟು ಇದೆ , ಆದರೆ ನಾವು ಉಚಿತ, ಪೂರ್ಣ ಪ್ರಮಾಣದ ಮುಕ್ತ ಮೂಲ SIEM ಸಿಸ್ಟಮ್ಗಳ ಸಂಕ್ಷಿಪ್ತ ಅವಲೋಕನವನ್ನು ನೀಡುತ್ತೇವೆ ಅದು ಬಳಕೆದಾರರ ಸಂಖ್ಯೆ ಅಥವಾ ಸ್ವೀಕರಿಸಿದ ಸಂಗ್ರಹಿಸಿದ ಡೇಟಾದ ಪರಿಮಾಣದ ಮೇಲೆ ಕೃತಕ ನಿರ್ಬಂಧಗಳನ್ನು ಹೊಂದಿರುವುದಿಲ್ಲ ಮತ್ತು ಸುಲಭವಾಗಿ ಸ್ಕೇಲೆಬಲ್ ಮತ್ತು ಬೆಂಬಲಿತವಾಗಿದೆ. ಇದು ಅಂತಹ ವ್ಯವಸ್ಥೆಗಳ ಸಾಮರ್ಥ್ಯವನ್ನು ನಿರ್ಣಯಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ ಮತ್ತು ಕಂಪನಿಯ ವ್ಯವಹಾರ ಪ್ರಕ್ರಿಯೆಗಳಲ್ಲಿ ಅಂತಹ ಪರಿಹಾರಗಳನ್ನು ಸಂಯೋಜಿಸಲು ಯೋಗ್ಯವಾಗಿದೆಯೇ ಎಂದು ನಿರ್ಧರಿಸಲು ನಾವು ಭಾವಿಸುತ್ತೇವೆ.
ಏಲಿಯನ್ ವಾಲ್ಟ್ OSSIM
AlienVault OSSIM ಪ್ರಮುಖ ವಾಣಿಜ್ಯ SIEM ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಒಂದಾದ AlienVault USM ನ ಮುಕ್ತ-ಮೂಲ ಆವೃತ್ತಿಯಾಗಿದೆ. OSSIM ಎಂಬುದು ಸ್ನಾರ್ಟ್ ನೆಟ್ವರ್ಕ್ ಒಳನುಗ್ಗುವಿಕೆ ಪತ್ತೆ ವ್ಯವಸ್ಥೆ, ನ್ಯಾಗಿಯೋಸ್ ನೆಟ್ವರ್ಕ್ ಮತ್ತು ಹೋಸ್ಟ್ ಮಾನಿಟರಿಂಗ್ ಸಿಸ್ಟಮ್, ಒಎಸ್ಎಸ್ಇಸಿ ಹೋಸ್ಟ್-ಆಧಾರಿತ ಒಳನುಗ್ಗುವಿಕೆ ಪತ್ತೆ ವ್ಯವಸ್ಥೆ ಮತ್ತು ಓಪನ್ವಾಸ್ ದುರ್ಬಲತೆ ಸ್ಕ್ಯಾನರ್ ಸೇರಿದಂತೆ ಹಲವಾರು ತೆರೆದ ಮೂಲ ಯೋಜನೆಗಳನ್ನು ಒಳಗೊಂಡಿರುವ ಚೌಕಟ್ಟಾಗಿದೆ.
ಸಾಧನಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು, AlienVault ಏಜೆಂಟ್ ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಇದು ಹೋಸ್ಟ್ನಿಂದ syslog ಸ್ವರೂಪದಲ್ಲಿ GELF ಪ್ಲಾಟ್ಫಾರ್ಮ್ಗೆ ಲಾಗ್ಗಳನ್ನು ಕಳುಹಿಸುತ್ತದೆ ಅಥವಾ ಕ್ಲೌಡ್ಫ್ಲೇರ್ ವೆಬ್ಸೈಟ್ ರಿವರ್ಸ್ ಪ್ರಾಕ್ಸಿ ಸೇವೆ ಅಥವಾ Okta ಮಲ್ಟಿನಂತಹ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಸೇವೆಗಳೊಂದಿಗೆ ಏಕೀಕರಣಕ್ಕಾಗಿ ಪ್ಲಗಿನ್ ಅನ್ನು ಬಳಸಬಹುದು. - ಅಂಶ ದೃಢೀಕರಣ ವ್ಯವಸ್ಥೆ.
USM ಆವೃತ್ತಿಯು ಲಾಗ್ ನಿರ್ವಹಣೆ, ಕ್ಲೌಡ್ ಮೂಲಸೌಕರ್ಯ ಮೇಲ್ವಿಚಾರಣೆ, ಯಾಂತ್ರೀಕೃತಗೊಂಡ ಮತ್ತು ನವೀಕರಿಸಿದ ಬೆದರಿಕೆ ಮಾಹಿತಿ ಮತ್ತು ದೃಶ್ಯೀಕರಣಕ್ಕಾಗಿ ವರ್ಧಿತ ಕಾರ್ಯನಿರ್ವಹಣೆಯೊಂದಿಗೆ OSSIM ನಿಂದ ಭಿನ್ನವಾಗಿದೆ.
ಪ್ರಯೋಜನಗಳು
- ಸಾಬೀತಾದ ಮುಕ್ತ-ಮೂಲ ಯೋಜನೆಗಳ ಮೇಲೆ ನಿರ್ಮಿಸಲಾಗಿದೆ;
- ಬಳಕೆದಾರರು ಮತ್ತು ಡೆವಲಪರ್ಗಳ ದೊಡ್ಡ ಸಮುದಾಯ.
ನ್ಯೂನತೆಗಳನ್ನು
- ಕ್ಲೌಡ್ ಪ್ಲಾಟ್ಫಾರ್ಮ್ಗಳ ಮೇಲ್ವಿಚಾರಣೆಯನ್ನು ಬೆಂಬಲಿಸುವುದಿಲ್ಲ (ಉದಾಹರಣೆಗೆ, AWS ಅಥವಾ Azure);
- ಯಾವುದೇ ಲಾಗ್ ನಿರ್ವಹಣೆ, ದೃಶ್ಯೀಕರಣ, ಯಾಂತ್ರೀಕೃತಗೊಂಡ ಅಥವಾ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಸೇವೆಗಳೊಂದಿಗೆ ಏಕೀಕರಣವಿಲ್ಲ.
MozDef (ಮೊಜಿಲ್ಲಾ ರಕ್ಷಣಾ ವೇದಿಕೆ)
ಮೊಜಿಲ್ಲಾ ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ MozDef SIEM ವ್ಯವಸ್ಥೆಯನ್ನು ಭದ್ರತಾ ಘಟನೆ ಪ್ರಕ್ರಿಯೆ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ಮೈಕ್ರೊ ಸರ್ವೀಸ್ ಆರ್ಕಿಟೆಕ್ಚರ್ನೊಂದಿಗೆ ಗರಿಷ್ಠ ಕಾರ್ಯಕ್ಷಮತೆ, ಸ್ಕೇಲೆಬಿಲಿಟಿ ಮತ್ತು ದೋಷ ಸಹಿಷ್ಣುತೆಯನ್ನು ಸಾಧಿಸಲು ಸಿಸ್ಟಮ್ ಅನ್ನು ನೆಲದಿಂದ ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ - ಪ್ರತಿ ಸೇವೆಯು ಡಾಕರ್ ಕಂಟೇನರ್ನಲ್ಲಿ ಚಲಿಸುತ್ತದೆ.
OSSIM ನಂತೆ, MozDef ಅನ್ನು ಸಮಯ-ಪರೀಕ್ಷಿತ ತೆರೆದ ಮೂಲ ಯೋಜನೆಗಳಲ್ಲಿ ನಿರ್ಮಿಸಲಾಗಿದೆ, ಇದರಲ್ಲಿ Elasticsearch ಲಾಗ್ ಇಂಡೆಕ್ಸಿಂಗ್ ಮತ್ತು ಹುಡುಕಾಟ ಮಾಡ್ಯೂಲ್, ಹೊಂದಿಕೊಳ್ಳುವ ವೆಬ್ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ನಿರ್ಮಿಸಲು ಉಲ್ಕೆಯ ವೇದಿಕೆ, ಮತ್ತು ದೃಶ್ಯೀಕರಣ ಮತ್ತು ಯೋಜನೆಗಾಗಿ ಕಿಬಾನಾ ಪ್ಲಗಿನ್.
ಈವೆಂಟ್ ಪರಸ್ಪರ ಸಂಬಂಧ ಮತ್ತು ಎಚ್ಚರಿಕೆಯನ್ನು ಸ್ಥಿತಿಸ್ಥಾಪಕ ಹುಡುಕಾಟ ಪ್ರಶ್ನೆಗಳನ್ನು ಬಳಸಿ ನಿರ್ವಹಿಸಲಾಗುತ್ತದೆ, ಇದು ಪೈಥಾನ್ ಬಳಸಿ ನಿಮ್ಮ ಸ್ವಂತ ಈವೆಂಟ್ ಪ್ರಕ್ರಿಯೆ ಮತ್ತು ಎಚ್ಚರಿಕೆಯ ನಿಯಮಗಳನ್ನು ಬರೆಯಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. Mozilla ಪ್ರಕಾರ, MozDef ದಿನಕ್ಕೆ 300 ದಶಲಕ್ಷಕ್ಕೂ ಹೆಚ್ಚು ಈವೆಂಟ್ಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಬಹುದು. MozDef JSON ಸ್ವರೂಪದಲ್ಲಿ ಈವೆಂಟ್ಗಳನ್ನು ಮಾತ್ರ ಸ್ವೀಕರಿಸುತ್ತದೆ, ಆದರೆ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಸೇವೆಗಳೊಂದಿಗೆ ಏಕೀಕರಣವಿದೆ.
ಪ್ರಯೋಜನಗಳು
- ಏಜೆಂಟ್ಗಳನ್ನು ಬಳಸುವುದಿಲ್ಲ - ಪ್ರಮಾಣಿತ JSON ಲಾಗ್ಗಳೊಂದಿಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ;
- ಮೈಕ್ರೊ ಸರ್ವಿಸ್ ಆರ್ಕಿಟೆಕ್ಚರ್ನಿಂದ ಸುಲಭವಾಗಿ ಮಾಪಕಗಳು;
- AWS CloudTrail ಮತ್ತು GuardDuty ಸೇರಿದಂತೆ ಕ್ಲೌಡ್ ಸೇವಾ ಡೇಟಾ ಮೂಲಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ.
ನ್ಯೂನತೆಗಳನ್ನು
- ಹೊಸ ಮತ್ತು ಕಡಿಮೆ ಸ್ಥಾಪಿತ ವ್ಯವಸ್ಥೆ.
ವಝುಹ್
Wazuh OSSEC ನ ಫೋರ್ಕ್ ಆಗಿ ಅಭಿವೃದ್ಧಿಯನ್ನು ಪ್ರಾರಂಭಿಸಿದರು, ಇದು ಅತ್ಯಂತ ಜನಪ್ರಿಯ ತೆರೆದ ಮೂಲ SIEM ಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ. ಮತ್ತು ಈಗ ಇದು ಹೊಸ ಕ್ರಿಯಾತ್ಮಕತೆ, ದೋಷ ಪರಿಹಾರಗಳು ಮತ್ತು ಆಪ್ಟಿಮೈಸ್ಡ್ ಆರ್ಕಿಟೆಕ್ಚರ್ನೊಂದಿಗೆ ತನ್ನದೇ ಆದ ವಿಶಿಷ್ಟ ಪರಿಹಾರವಾಗಿದೆ.
ಸಿಸ್ಟಮ್ ಅನ್ನು ElasticStack ಸ್ಟಾಕ್ (Elasticsearch, Logstash, Kibana) ಮೇಲೆ ನಿರ್ಮಿಸಲಾಗಿದೆ ಮತ್ತು ಏಜೆಂಟ್ ಆಧಾರಿತ ಡೇಟಾ ಸಂಗ್ರಹಣೆ ಮತ್ತು ಸಿಸ್ಟಮ್ ಲಾಗ್ ಸೇವನೆ ಎರಡನ್ನೂ ಬೆಂಬಲಿಸುತ್ತದೆ. ಇದು ಲಾಗ್ಗಳನ್ನು ಉತ್ಪಾದಿಸುವ ಸಾಧನಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಮಾಡುತ್ತದೆ ಆದರೆ ಏಜೆಂಟ್ ಸ್ಥಾಪನೆಯನ್ನು ಬೆಂಬಲಿಸುವುದಿಲ್ಲ - ನೆಟ್ವರ್ಕ್ ಸಾಧನಗಳು, ಪ್ರಿಂಟರ್ಗಳು ಮತ್ತು ಪೆರಿಫೆರಲ್ಸ್.
Wazuh ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ OSSEC ಏಜೆಂಟ್ಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ ಮತ್ತು OSSEC ನಿಂದ Wazuh ಗೆ ವಲಸೆ ಹೋಗುವ ಬಗ್ಗೆ ಮಾರ್ಗದರ್ಶನವನ್ನು ನೀಡುತ್ತದೆ. OSSEC ಇನ್ನೂ ಸಕ್ರಿಯವಾಗಿ ಬೆಂಬಲಿತವಾಗಿದ್ದರೂ, ಹೊಸ ವೆಬ್ ಇಂಟರ್ಫೇಸ್, REST API, ನಿಯಮಗಳ ಸಂಪೂರ್ಣ ಸೆಟ್ ಮತ್ತು ಇತರ ಹಲವು ಸುಧಾರಣೆಗಳ ಸೇರ್ಪಡೆಯಿಂದಾಗಿ Wazuh OSSEC ನ ಮುಂದುವರಿಕೆಯಾಗಿ ಕಂಡುಬರುತ್ತದೆ.
ಪ್ರಯೋಜನಗಳು
- ಜನಪ್ರಿಯ SIEM OSSEC ಅನ್ನು ಆಧರಿಸಿ ಮತ್ತು ಹೊಂದಿಕೆಯಾಗುತ್ತದೆ;
- ವಿವಿಧ ಅನುಸ್ಥಾಪನಾ ಆಯ್ಕೆಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ: ಡಾಕರ್, ಪಪಿಟ್, ಚೆಫ್, ಅನ್ಸಿಬಲ್;
- AWS ಮತ್ತು Azure ಸೇರಿದಂತೆ ಕ್ಲೌಡ್ ಸೇವೆಗಳ ಮೇಲ್ವಿಚಾರಣೆಯನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ;
- ಬಹು ವಿಧದ ದಾಳಿಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ನಿಯಮಗಳ ಸಮಗ್ರ ಸೆಟ್ ಅನ್ನು ಒಳಗೊಂಡಿದೆ ಮತ್ತು PCI DSS v3.1 ಮತ್ತು CIS ಗೆ ಅನುಗುಣವಾಗಿ ಅವುಗಳನ್ನು ಹೋಲಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
- ಈವೆಂಟ್ ದೃಶ್ಯೀಕರಣ ಮತ್ತು API ಬೆಂಬಲಕ್ಕಾಗಿ ಸ್ಪ್ಲಂಕ್ ಲಾಗ್ ಸಂಗ್ರಹಣೆ ಮತ್ತು ವಿಶ್ಲೇಷಣಾ ವ್ಯವಸ್ಥೆಯೊಂದಿಗೆ ಸಂಯೋಜಿಸುತ್ತದೆ.
ನ್ಯೂನತೆಗಳನ್ನು
- ಸಂಕೀರ್ಣ ವಾಸ್ತುಶಿಲ್ಪ - Wazuh ಬ್ಯಾಕೆಂಡ್ ಘಟಕಗಳ ಜೊತೆಗೆ ಪೂರ್ಣ ಸ್ಥಿತಿಸ್ಥಾಪಕ ಸ್ಟಾಕ್ ನಿಯೋಜನೆಯ ಅಗತ್ಯವಿದೆ.
ಮುನ್ನುಡಿ ಓಎಸ್
ಪ್ರಿಲ್ಯೂಡ್ OSS ಎಂಬುದು ಫ್ರೆಂಚ್ ಕಂಪನಿ CS ನಿಂದ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾದ ವಾಣಿಜ್ಯ ಪ್ರಿಲ್ಯೂಡ್ SIEM ನ ಮುಕ್ತ-ಮೂಲ ಆವೃತ್ತಿಯಾಗಿದೆ. ಪರಿಹಾರವು ಹೊಂದಿಕೊಳ್ಳುವ, ಮಾಡ್ಯುಲರ್ SIEM ಸಿಸ್ಟಮ್ ಆಗಿದ್ದು ಅದು ಬಹು ಲಾಗ್ ಫಾರ್ಮ್ಯಾಟ್ಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ, OSSEC, Snort ಮತ್ತು Suricata ನೆಟ್ವರ್ಕ್ ಪತ್ತೆ ವ್ಯವಸ್ಥೆಯಂತಹ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಸಾಧನಗಳೊಂದಿಗೆ ಏಕೀಕರಣವಾಗಿದೆ.
ಪ್ರತಿಯೊಂದು ಈವೆಂಟ್ ಅನ್ನು IDMEF ಸ್ವರೂಪವನ್ನು ಬಳಸಿಕೊಂಡು ಸಂದೇಶವಾಗಿ ಸಾಮಾನ್ಯಗೊಳಿಸಲಾಗುತ್ತದೆ, ಇದು ಇತರ ವ್ಯವಸ್ಥೆಗಳೊಂದಿಗೆ ಡೇಟಾ ವಿನಿಮಯವನ್ನು ಸರಳಗೊಳಿಸುತ್ತದೆ. ಆದರೆ ಮುಲಾಮುದಲ್ಲಿ ಒಂದು ಫ್ಲೈ ಇದೆ - ಪ್ರಿಲ್ಯೂಡ್ SIEM ನ ವಾಣಿಜ್ಯ ಆವೃತ್ತಿಗೆ ಹೋಲಿಸಿದರೆ ಮುನ್ನುಡಿ OSS ಕಾರ್ಯಕ್ಷಮತೆ ಮತ್ತು ಕಾರ್ಯನಿರ್ವಹಣೆಯಲ್ಲಿ ಬಹಳ ಸೀಮಿತವಾಗಿದೆ ಮತ್ತು ಸಣ್ಣ ಯೋಜನೆಗಳಿಗೆ ಅಥವಾ SIEM ಪರಿಹಾರಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡಲು ಮತ್ತು ಮುನ್ನುಡಿ SIEM ಅನ್ನು ಮೌಲ್ಯಮಾಪನ ಮಾಡಲು ಹೆಚ್ಚು ಉದ್ದೇಶಿಸಲಾಗಿದೆ.
ಪ್ರಯೋಜನಗಳು
- ಸಮಯ-ಪರೀಕ್ಷಿತ ವ್ಯವಸ್ಥೆ, 1998 ರಿಂದ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗಿದೆ;
- ವಿವಿಧ ಲಾಗ್ ಫಾರ್ಮ್ಯಾಟ್ಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ;
- ಡೇಟಾವನ್ನು IMDEF ಫಾರ್ಮ್ಯಾಟ್ಗೆ ಸಾಮಾನ್ಯಗೊಳಿಸುತ್ತದೆ, ಇತರ ಭದ್ರತಾ ವ್ಯವಸ್ಥೆಗಳಿಗೆ ಡೇಟಾವನ್ನು ವರ್ಗಾಯಿಸಲು ಸುಲಭಗೊಳಿಸುತ್ತದೆ.
ನ್ಯೂನತೆಗಳನ್ನು
- ಇತರ ಓಪನ್-ಸೋರ್ಸ್ SIEM ಸಿಸ್ಟಮ್ಗಳಿಗೆ ಹೋಲಿಸಿದರೆ ಕ್ರಿಯಾತ್ಮಕತೆ ಮತ್ತು ಕಾರ್ಯಕ್ಷಮತೆಯಲ್ಲಿ ಗಮನಾರ್ಹವಾಗಿ ಸೀಮಿತವಾಗಿದೆ.
ಸಗಾನ್
ಸಗಾನ್ ಉನ್ನತ-ಕಾರ್ಯಕ್ಷಮತೆಯ SIEM ಆಗಿದ್ದು ಅದು Snort ನೊಂದಿಗೆ ಹೊಂದಾಣಿಕೆಯನ್ನು ಒತ್ತಿಹೇಳುತ್ತದೆ. Snort ಗಾಗಿ ಬರೆದ ನಿಯಮಗಳನ್ನು ಬೆಂಬಲಿಸುವುದರ ಜೊತೆಗೆ, ಸಗಾನ್ Snort ಡೇಟಾಬೇಸ್ಗೆ ಬರೆಯಬಹುದು ಮತ್ತು Shuil ಇಂಟರ್ಫೇಸ್ನೊಂದಿಗೆ ಸಹ ಬಳಸಬಹುದು. ಮೂಲಭೂತವಾಗಿ, ಇದು ಹಗುರವಾದ ಬಹು-ಥ್ರೆಡ್ ಪರಿಹಾರವಾಗಿದ್ದು, Snort ಬಳಕೆದಾರರಿಗೆ ಸ್ನೇಹಪರವಾಗಿ ಉಳಿದಿರುವಾಗ ಹೊಸ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ನೀಡುತ್ತದೆ.
ಪ್ರಯೋಜನಗಳು
- Snort ಡೇಟಾಬೇಸ್, ನಿಯಮಗಳು ಮತ್ತು ಬಳಕೆದಾರ ಇಂಟರ್ಫೇಸ್ನೊಂದಿಗೆ ಸಂಪೂರ್ಣವಾಗಿ ಹೊಂದಿಕೊಳ್ಳುತ್ತದೆ;
- ಮಲ್ಟಿ-ಥ್ರೆಡ್ ಆರ್ಕಿಟೆಕ್ಚರ್ ಹೆಚ್ಚಿನ ಕಾರ್ಯಕ್ಷಮತೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ.
ನ್ಯೂನತೆಗಳನ್ನು
- ಸಣ್ಣ ಸಮುದಾಯದೊಂದಿಗೆ ತುಲನಾತ್ಮಕವಾಗಿ ಯುವ ಯೋಜನೆ;
- ಸಂಪೂರ್ಣ SIEM ಅನ್ನು ಮೂಲದಿಂದ ನಿರ್ಮಿಸುವುದನ್ನು ಒಳಗೊಂಡಿರುವ ಸಂಕೀರ್ಣ ಅನುಸ್ಥಾಪನಾ ಪ್ರಕ್ರಿಯೆ.
ತೀರ್ಮಾನಕ್ಕೆ
ವಿವರಿಸಿದ ಪ್ರತಿಯೊಂದು SIEM ವ್ಯವಸ್ಥೆಗಳು ತನ್ನದೇ ಆದ ಗುಣಲಕ್ಷಣಗಳು ಮತ್ತು ಮಿತಿಗಳನ್ನು ಹೊಂದಿವೆ, ಆದ್ದರಿಂದ ಅವುಗಳನ್ನು ಯಾವುದೇ ಸಂಸ್ಥೆಗೆ ಸಾರ್ವತ್ರಿಕ ಪರಿಹಾರ ಎಂದು ಕರೆಯಲಾಗುವುದಿಲ್ಲ. ಆದಾಗ್ಯೂ, ಈ ಪರಿಹಾರಗಳು ತೆರೆದ ಮೂಲವಾಗಿದ್ದು, ಅವುಗಳನ್ನು ನಿಯೋಜಿಸಲು, ಪರೀಕ್ಷಿಸಲು ಮತ್ತು ಹೆಚ್ಚಿನ ವೆಚ್ಚವನ್ನು ಮಾಡದೆಯೇ ಮೌಲ್ಯಮಾಪನ ಮಾಡಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.
ಬ್ಲಾಗ್ನಲ್ಲಿ ನೀವು ಬೇರೆ ಏನು ಆಸಕ್ತಿದಾಯಕ ಓದಬಹುದು?
→
→
→
→
→
ನಮ್ಮ ಚಂದಾದಾರರಾಗಿ -ಚಾನೆಲ್, ಮುಂದಿನ ಲೇಖನವನ್ನು ಕಳೆದುಕೊಳ್ಳದಂತೆ! ನಾವು ವಾರಕ್ಕೆ ಎರಡು ಬಾರಿ ಹೆಚ್ಚು ಬರೆಯುವುದಿಲ್ಲ ಮತ್ತು ವ್ಯವಹಾರದಲ್ಲಿ ಮಾತ್ರ.
ಮೂಲ: www.habr.com