Жакшы IT коопсуздук адиси жөнөкөй адамдан эмнеси менен айырмаланат? Жок, каалаган убакта ал менеджер Игорь кечээ кесиптеши Марияга жөнөткөн билдирүүлөрдүн санын эсинен чыгара албайт. Жакшы коопсуздук адиси мүмкүн болгон бузууларды алдын ала аныктоого жана аларды реалдуу убакытта кармоого аракет кылып, окуянын уланып кетпеши үчүн бардык күч-аракетин жумшайт. Коопсуздук окуяларын башкаруу тутумдары (SIEM, Коопсуздук маалыматы жана окуяларды башкаруудан) ар кандай бузуу аракетин тез жаздыруу жана бөгөттөө милдетин абдан жөнөкөйлөтөт.
Салттуу түрдө, SIEM системалары маалыматтык коопсуздукту башкаруу тутумун жана коопсуздук окуяларын башкаруу тутумун бириктирет. Системалардын маанилүү өзгөчөлүгү коопсуздук окуяларын реалдуу убакыт режиминде талдоо болуп саналат, ал учурдагы бузулуулар болгонго чейин аларга жооп кайтарууга мүмкүндүк берет.
SIEM системаларынын негизги милдеттери:
- Маалыматтарды чогултуу жана нормалдаштыруу
- Маалымат корреляциясы
- Эскертүү
- Визуализация панелдери
- Маалыматтарды сактоону уюштуруу
- Маалыматтарды издөө жана талдоо
- отчет
SIEM системаларына суроо-талаптын жогору болушунун себептери
Акыркы убакта маалыматтык системаларга кол салуулардын татаалдыгы жана координациясы абдан көбөйдү. Ошол эле учурда маалыматтык коопсуздук куралдарынын комплекси да татаалдашып баратат — тармактык жана хост негизиндеги интрузияларды аныктоо системалары, DLP системалары, антивирустук системалар жана брандмауэрлер, аялуу сканерлери ж.б. Ар бир коопсуздук куралы деталдардын ар кандай деңгээлдери менен окуялардын агымын жаратат жана көбүнчө чабуулду ар кандай системалардагы окуялардын кайталанышынан гана көрүүгө болот.
Коммерциялык SIEM системаларынын бардык түрлөрү жөнүндө көп нерсе бар , бирок биз колдонуучулардын санына же кабыл алынган сакталган маалыматтардын көлөмүнө жасалма чектөөлөрү жок, ошондой эле оңой масштабдалуучу жана колдоого алынуучу акысыз, толук кандуу ачык булак SIEM системаларынын кыскача баяндамасын сунуштайбыз. Бул мындай системалардын потенциалын баалоого жана мындай чечимдер компаниянын бизнес процесстерине интеграцияланууга татыктуубу же жокпу, чечүүгө жардам берет деп үмүттөнөбүз.
AlienVault OSSIM
AlienVault OSSIM – бул AlienVault USMнин ачык булактуу версиясы, алдыңкы коммерциялык SIEM системаларынын бири. OSSIM бул бир нече ачык булак долбоорлорунан турган алкак, анын ичинде Snort тармагынын интрузиясын аныктоо тутуму, Nagios тармагын жана хосттун мониторинг тутумун, OSSEC хостуна негизделген чабуулду аныктоо тутумун жана OpenVAS аялуу сканерин.
Түзмөктөрдү көзөмөлдөө үчүн AlienVault агенти колдонулат, ал хосттон журналдарды syslog форматында GELF платформасына жөнөтөт же плагин Cloudflare веб-сайтынын тескери прокси кызматы же Okta multi сыяктуу үчүнчү тараптын кызматтары менен интеграциялоо үчүн колдонулушу мүмкүн. -фактордук аутентификация системасы.
USM версиясы OSSIMден журналды башкаруу, булут инфраструктурасын көзөмөлдөө, автоматташтыруу, жаңыртылган коркунуч маалыматы жана визуализациясы үчүн өркүндөтүлгөн функционалдуулугу менен айырмаланат.
артыкчылыктары
- далилденген ачык булагы долбоорлордун негизинде курулган;
- Колдонуучулардын жана иштеп чыгуучулардын чоң коомчулугу.
кемчиликтер
- Булут платформаларынын мониторингин колдобойт (мисалы, AWS же Azure);
- Журналды башкаруу, визуалдаштыруу, автоматташтыруу же үчүнчү тараптын кызматтары менен интеграция жок.
MozDef (Mozilla коргонуу платформасы)
Mozilla тарабынан иштелип чыккан MozDef SIEM системасы коопсуздук инциденттерин иштетүү процесстерин автоматташтыруу үчүн колдонулат. Система микросервис архитектурасы менен максималдуу өндүрүмдүүлүккө, масштабдуулукка жана каталарга чыдамкайлыкка жетүү үчүн башынан иштелип чыккан - ар бир кызмат Docker контейнеринде иштейт.
OSSIM сыяктуу, MozDef да Elasticsearch журналын индекстөө жана издөө модулу, ийкемдүү веб-интерфейсти куруу үчүн Meteor платформасы жана визуализация жана пландоо үчүн Kibana плагини камтыган, убакыт сынагынан өткөн ачык булак долбоорлоруна курулган.
Окуялардын корреляциясы жана эскертүүлөрү Elasticsearch сурамдары аркылуу ишке ашырылат, бул сизге Python аркылуу өзүңүздүн окуяны иштетүү жана эскертүү эрежелериңизди жазууга мүмкүндүк берет. Mozilla айтымында, MozDef күнүнө 300 миллиондон ашык окуяны иштете алат. MozDef JSON форматындагы окуяларды гана кабыл алат, бирок үчүнчү тараптын кызматтары менен интеграция бар.
артыкчылыктары
- Агенттерди колдонбойт - стандарттык JSON журналдары менен иштейт;
- Микросервис архитектурасынын аркасында оңой масштабдалат;
- Булут кызматынын маалымат булактарын колдойт, анын ичинде AWS CloudTrail жана GuardDuty.
кемчиликтер
- Жаңы жана азыраак түзүлгөн система.
Wazuh
Wazuh эң популярдуу ачык булак SIEMдердин бири болгон OSSECтин айрысы катары иштеп баштаган. Эми бул жаңы функциялар, мүчүлүштүктөрдү оңдоо жана оптималдаштырылган архитектурасы менен өзүнүн уникалдуу чечими.
Система ElasticStack стекине (Elasticsearch, Logstash, Kibana) курулган жана агенттин негизиндеги маалыматтарды чогултууну жана система журналын жутуп алууну колдойт. Бул аны журналдарды түзгөн, бирок агент орнотууну колдобогон мониторинг түзмөктөрү үчүн эффективдүү кылат - тармак түзмөктөрү, принтерлер жана перифериялык түзүлүштөр.
Wazuh учурдагы OSSEC агенттерин колдойт жана атүгүл OSSECтен Wazuhга көчүү боюнча көрсөтмөлөрдү берет. OSSEC дагы эле активдүү колдоого алынса да, Wazuh жаңы веб-интерфейс, REST API, эрежелердин толук топтому жана башка көптөгөн жакшыртуулардын кошулушуна байланыштуу OSSECтин уландысы катары каралат.
артыкчылыктары
- Популярдуу SIEM OSSECтин негизинде жана ага шайкеш келет;
- Ар кандай орнотуу параметрлерин колдойт: Docker, Puppet, Chef, Ansible;
- AWS жана Azure, анын ичинде булут кызматтарынын мониторингин колдойт;
- Кол салуулардын бир нече түрүн аныктоо үчүн комплекстүү эрежелерди камтыйт жана аларды PCI DSS v3.1 жана КМШга ылайык салыштырууга мүмкүндүк берет.
- Окуяларды визуализациялоо жана API колдоосу үчүн Splunk журналын сактоо жана талдоо системасы менен интеграцияланат.
кемчиликтер
- Татаал архитектура - Wazuh backend компоненттеринен тышкары толук Elastic Stack жайгаштырууну талап кылат.
Prelude OS
Prelude OSS француздук CS компаниясы тарабынан иштелип чыккан коммерциялык Prelude SIEMдин ачык булактуу версиясы. Чечим бир нече журнал форматтарын колдогон ийкемдүү, модулдук SIEM системасы, OSSEC, Snort жана Suricata тармагын аныктоо системасы сыяктуу үчүнчү тараптын куралдары менен интеграция.
Ар бир окуя башка системалар менен маалымат алмашууну жөнөкөйлөтүүчү IDMEF форматын колдонуу менен билдирүүгө нормалдаштырылган. Бирок майдын ичинде чымын бар - Prelude SIEM коммерциялык версиясына салыштырмалуу Prelude OSS иштөөсү жана функционалдуулугу жагынан өтө чектелген жана чакан долбоорлорго же SIEM чечимдерин изилдөөгө жана Prelude SIEMди баалоого көбүрөөк арналган.
артыкчылыктары
- 1998-жылдан бери иштелип чыккан убакыт сыноодон өткөн система;
- Көптөгөн ар кандай журнал форматтарын колдойт;
- Маалыматтарды IMDEF форматына нормалдаштырып, башка коопсуздук тутумдарына маалыматтарды өткөрүп берүүнү жеңилдетет.
кемчиликтер
- Башка ачык булактуу SIEM тутумдарына салыштырмалуу функционалдуулугу жана иштеши боюнча олуттуу чектелген.
Саган
Sagan - Snort менен шайкештикти баса белгилеген жогорку натыйжалуу SIEM. Snort үчүн жазылган колдоо эрежелеринен тышкары, Саган Snort маалымат базасына жаза алат жана ал тургай Shuil интерфейси менен колдонсо болот. Негизи, бул Snort колдонуучулары үчүн жагымдуу бойдон калуу менен жаңы функцияларды сунуш кылган жеңил көп жиптүү чечим.
артыкчылыктары
- Snort маалымат базасы, эрежелери жана колдонуучу интерфейси менен толук шайкеш келет;
- Көп жиптүү архитектура жогорку аткарууну камсыз кылат.
кемчиликтер
- Чакан жамаат менен салыштырмалуу жаш долбоор;
- Булактан бүт SIEM түзүүнү камтыган татаал орнотуу процесси.
жыйынтыктоо
Сүрөттөлгөн SIEM системаларынын ар бири өзүнүн өзгөчөлүктөрүнө жана чектөөлөрүнө ээ, ошондуктан аларды кандайдыр бир уюм үчүн универсалдуу чечим деп атоого болбойт. Бирок, бул чечимдер ачык булак болуп саналат, аларды жайгаштырууга, текшерүүгө жана ашыкча чыгымдарсыз баалоого мүмкүндүк берет.
Блогдон дагы кандай кызыктуу нерселерди окуй аласыз?
→
→
→
→
→
Биздин жазылуу -канал, кийинки макаланы өткөрүп жибербөө үчүн! Биз жумасына эки жолудан ашык эмес жана бизнес боюнча гана жазабыз.
Source: www.habr.com