Pisporek ewlehiya IT-ê ya baş ji ya normal çawa cûda dibe? Na, ne ji ber vê yekê ku di her kêliyê de ew dikare ji bîrê hejmara peyamên ku rêveber Igor duh ji hevkara xwe Maria re şandiye bi nav bike. Pisporê ewlehiyê yê baş hewl dide ku binpêkirinên muhtemel pêşwext nas bike û wan di wextê rast de bigire, her hewl dide ku bûyer berdewam neke. Pergalên rêveberiya bûyera ewlehiyê (SIEM, ji agahdariya Ewlekariyê û rêveberiya bûyerê) karê tomarkirina bilez û astengkirina her hewildanên binpêkirinê pir hêsan dike.
Kevneşopî, pergalên SIEM pergalek rêveberiya ewlehiya agahdariyê û pergala rêveberiya bûyera ewlehiyê bi hev re dike. Taybetmendiyek girîng a pergalan analîzkirina bûyerên ewlehiyê di demek rast de ye, ku dihêle hûn bersivê bidin wan berî ku zirara heyî çêbibe.
Karên sereke yên pergalên SIEM:
- Komkirina daneyan û normalîzekirin
- Têkiliya Daneyên
- Hişyar
- panelên dîtbarî
- Rêxistina hilanîna daneyan
- Daneyên Lêgerîn û Analîz
- Raporkirin
Sedemên daxwaziya zêde ya pergalên SIEM
Di van demên dawî de, tevlihevî û hevrêziya êrîşên li ser pergalên agahdariyê pir zêde bûye. Di heman demê de, kompleksa amûrên ewlehiya agahdarî yên ku têne bikar anîn jî tevlihevtir dibe - pergalên tespîtkirina destavêtinê yên li ser torê û mêvandar, pergalên DLP, pergalên antî-vîrûs û dîwarên agir, skanerên qelsbûnê, hwd. Her amûrek ewlehiyê rêçek bûyeran bi astên hûrgulî yên cihêreng diafirîne, û pir caran êrîşek tenê bi bûyerên ji pergalên cihêreng li hev tê dîtin.
Di derbarê her cûre pergalên SIEM yên bazirganî de pir tişt hene , lê em nihêrînek kurt li ser pergalên SIEM-ê çavkaniya vekirî ya bêpere, bêkêmasî pêşkêşî dikin ku li ser hejmara bikarhêneran an qebareya daneyên hilanîn ên pejirandî ne xwedî sînorkirinên sûnî ne, û di heman demê de bi hêsanî têne pîvandin û piştgirî kirin. Em hêvî dikin ku ev ê bibe alîkar ku potansiyela pergalên weha binirxîne û biryar bide ka çareseriyên weha hêjayî yekbûna pêvajoyên karsaziya pargîdaniyê ne.
AlienVault OSSIM
AlienVault OSSIM guhertoyek çavkaniya vekirî ya AlienVault USM e, yek ji pergalên bazirganî yên pêşeng ên SIEM. OSSIM çarçoveyek e ku ji gelek projeyên çavkaniya vekirî pêk tê, di nav de pergala tespîtkirina destwerdanê ya tora Snort, pergala şopandina torê ya Nagios û mêvandar, pergala vedîtina destwerdanê ya bingehîn a OSSEC, û skanera xirapbûnê ya OpenVAS.
Ji bo şopandina cîhazan, AlienVault Agent tê bikar anîn, ku têketinên ji mêvandarê bi formata syslogê dişîne platforma GELF, an pêvekek dikare ji bo entegrasyonê bi karûbarên sêyemîn re were bikar anîn, wek mînak karûbarê proxy berevajî malpera Cloudflare an Okta multi. -pergala erêkirina faktorê.
Guhertoya USM ji OSSIM-ê bi fonksiyonên pêşkeftî yên ji bo rêveberiya têketinê, çavdêriya binesaziya ewr, otomasyon, û agahdariya gefê ya nûvekirî û dîtbarî cûda dibe.
avantajên
- Li ser projeyên çavkaniya vekirî ya îsbatkirî hatî çêkirin;
- Civaka mezin a bikarhêner û pêşdebiran.
kêmasiyên
- Piştgiriya çavdêriya platformên ewr nake (mînak, AWS an Azure);
- Rêvebiriya têketinê, dîtbarî, otomasyon an yekbûnek bi karûbarên sêyemîn re tune.
MozDef (Platforma Parastina Mozilla)
Pergala MozDef SIEM ya ku ji hêla Mozilla ve hatî pêşve xistin ji bo otomatîkkirina pêvajoyên pêvajoyên bûyerên ewlehiyê tê bikar anîn. Pergal ji jor ve hatî sêwirandin da ku bigihîje performansa herî zêde, pîvandin û tolerasyona xeletiyê, bi mîmariya mîkro-xizmetê - her karûbar di konteynirek Docker de dimeşe.
Mîna OSSIM, MozDef li ser projeyên çavkaniya vekirî-ceribandinî-dem hatiye çêkirin, di nav de modula nîşankirin û lêgerînê ya Elasticsearch, platforma Meteor ji bo avakirina navgînek tevnvî ya maqûl, û pêveka Kibana ji bo dîtin û xêzkirinê.
Têkilî û hişyarkirina bûyerê bi karanîna lêpirsînên Elasticsearch têne kirin, ku destûrê dide te ku hûn bi karanîna Python-ê qaîdeyên pêvajoyên bûyer û hişyarkirina xwe binivîsin. Li gorî Mozilla, MozDef dikare rojane zêdetirî 300 mîlyon bûyeran bike. MozDef tenê bûyeran di formata JSON de qebûl dike, lê bi karûbarên sêyemîn re yekbûnek heye.
avantajên
- Nûneran bikar nayîne - bi têketinên standard JSON re dixebite;
- Bi saya mîmariya mîkroxizmetê bi hêsanî pîvaz dike;
- Çavkaniyên daneya karûbarê cloud, tevî AWS CloudTrail û GuardDuty, piştgirî dike.
kêmasiyên
- Sîstema nû û kêm hatî avakirin.
Wazuh
Wazuh wekî forkek OSSEC, yek ji SIEM-ên çavkaniya vekirî ya herî populer dest bi pêşveçûnê kir. Û naha ew çareseriya xweya bêhempa ye bi fonksiyonên nû, rastkirinên xeletiyan û mîmariya xweşbînkirî.
Pergal li ser stûna ElasticStack (Elasticsearch, Logstash, Kibana) hatî çêkirin û hem berhevkirina daneya-based agent û hem jî têketina têketina pergalê piştgirî dike. Ev ji bo şopandina amûrên ku têketin diafirînin lê sazkirina ajansê piştgirî nakin bandorker dike - cîhazên torê, çaper û dorhêl.
Wazuh ajanên heyî yên OSSEC piştgirî dike û tewra rêbernameyê li ser koçkirina ji OSSEC berbi Wazuh jî peyda dike. Her çend OSSEC hîn jî bi rengek çalak tê piştgirî kirin, Wazuh wekî berdewamiya OSSEC-ê tê dîtin ji ber lêzêdekirina navgînek webê ya nû, REST API, komek qaîdeyên bêkêmasî, û gelek çêtirkirinên din.
avantajên
- Li ser bingeha SIEM OSSEC-a populer û lihevhatî;
- Vebijarkên sazkirinê yên cihêreng piştgirî dike: Docker, Puppet, Chef, Ansible;
- Piştgiriya çavdêriya karûbarên cloudê, tevî AWS û Azure;
- Ji bo tespîtkirina gelek celeb êrîşan komek rêzikên berfireh vedihewîne û dihêle hûn wan li gorî PCI DSS v3.1 û CIS bidin ber hev.
- Ji bo dîtina bûyerê û piştgiriya API-ê bi pergala hilanînê û analîzê ya têketinê Splunk re yek dike.
kêmasiyên
- Mîmariya tevlihev - ji bilî pêkhateyên paşerojê yên Wazuh, pêvekek tam Elastic Stack hewce dike.
Pêşgotin OS
Prelude OSS guhertoyek çavkaniya vekirî ya bazirganî Prelude SIEM e, ku ji hêla pargîdaniya fransî CS ve hatî pêşve xistin. Çareserî pergalek SIEM-ê ya maqûl, modular e ku gelek formatên têketinê piştgirî dike, bi amûrên sêyemîn ên wekî OSSEC, Snort û pergala tespîtkirina torê ya Suricata re yekbûnek piştgirî dike.
Her bûyer di nav peyamekê de bi karanîna formata IDMEF-ê tê normalîzekirin, ku danûstandina daneyê bi pergalên din re hêsan dike. Lê di nav rûnê de firînek heye - Prelude OSS li gorî guhertoya bazirganî ya Prelude SIEM di performans û fonksiyonê de pir kêm e, û bêtir ji bo projeyên piçûk an jî ji bo xwendina çareseriyên SIEM û nirxandina Prelude SIEM tête armanc kirin.
avantajên
- Pergala dem-ceribandin, ji sala 1998 ve hatî pêşve xistin;
- Gelek formatên têketinê yên cihêreng piştgirî dike;
- Daneyên bi forma IMDEF-ê normal dike, veguheztina daneyan ji pergalên ewlehiyê yên din re hêsan dike.
kêmasiyên
- Di fonksîyon û performansê de li gorî pergalên din ên SIEM-çavkaniya vekirî bi girîngî sînorkirî ye.
sagan
Sagan SIEM-a performansa bilind e ku lihevhatina bi Snort re tekez dike. Digel qaîdeyên piştgirî yên ku ji bo Snort hatine nivîsandin, Sagan dikare li databasa Snort binivîsîne û tewra dikare bi navbeynkariya Shuil re were bikar anîn. Di bingeh de, ew çareseriyek pir-mijalek sivik e ku dema ku ji bikarhênerên Snort re heval dimîne taybetmendiyên nû pêşkêşî dike.
avantajên
- Bi databas, qaîdeyên, û navrûya bikarhênerê ya Snort re bi tevahî hevaheng e;
- Mîmariya pir-mijarî performansa bilind peyda dike.
kêmasiyên
- Projeyek nisbeten ciwan bi civakek piçûk;
- Pêvajoyek sazkirinê ya tevlihev a ku tevaya SIEM-ê ji çavkaniyê ava dike.
encamê
Her yek ji pergalên SIEM-ê yên diyarkirî taybetmendî û tixûbên xwe hene, ji ber vê yekê ew nikarin ji bo rêxistinek çareseriyek gerdûnî binav bikin. Lêbelê, ev çareserî çavkaniyek vekirî ne, ku dihêle ku ew bêyî lêçûnên zêde werin bicîh kirin, ceribandin û nirxandin.
Hûn dikarin li ser blogê çi balkêş bixwînin?
→
→
→
→
→
Aboneya me bibin -kanal da ku hûn gotara din ji bîr nekin! Em heftê du caran û tenê li ser karsaziyê dinivîsin.
Source: www.habr.com