Wéi ënnerscheet e gudden IT Sécherheetsspezialist vun engem gewéinleche? Neen, net duerch d'Tatsaach, datt hien zu all Moment kann aus Erënnerung d'Zuel vun Messagen nennen, datt de Manager Igor gëschter zu senger Kolleg Maria geschéckt. E gudde Sécherheetsspezialist probéiert am Viraus méiglech Violatioune z'identifizéieren an se an Echtzäit ze fangen, all Effort ze maachen fir sécherzestellen datt den Tëschefall net weider geet. Sécherheet Event Management Systemer (SIEM, vu Sécherheetsinformatioun an Eventmanagement) vereinfachen d'Aufgab fir séier opzehuelen an all versichte Verstouss ze blockéieren.
Traditionell kombinéieren SIEM Systemer en Informatiounssécherheetsmanagement System an e Sécherheets Event Management System. Eng wichteg Feature vun de Systemer ass d'Analyse vu Sécherheetsevenementer an Echtzäit, wat Iech erlaabt hinnen ze reagéieren ier existente Schued geschitt.
Haaptaufgaben vun SIEM Systemer:
- Datesammlung an Normaliséierung
- Daten Korrelatioun
- Alarm
- Visualiséierung Panelen
- Organisatioun vun Daten Stockage
- Daten Sich an Analyse
- Berichterstattung
Grënn fir déi héich Nofro fir SIEM Systemer
Viru kuerzem ass d'Komplexitéit an d'Koordinatioun vun Attacken op Informatiounssystemer staark eropgaang. Zur selwechter Zäit gëtt de Komplex vun benotzten Informatiounssécherheetsinstrumenter och méi komplex - Netzwierk- an Host-baséiert Intrusiounserkennungssystemer, DLP Systemer, Anti-Virus Systemer a Firewalls, Schwachstelle Scanner, etc. All Sécherheetsinstrument generéiert e Stroum vun Eventer mat variabelen Detailniveauen, an dacks kann en Attack nëmmen duerch iwwerlappend Eventer vu verschiddene Systemer gesi ginn.
Et gëtt vill iwwer all Zorte vu kommerziellen SIEM Systemer
AlienVault OSSIM
AlienVault OSSIM ass eng Open-Source Versioun vum AlienVault USM, ee vun de féierende kommerziellen SIEM Systemer. OSSIM ass e Kader besteet aus e puer Open Source Projeten, dorënner de Snort Netzwierk Intrusiounserkennungssystem, den Nagios Netzwierk a Host Iwwerwaachungssystem, den OSSEC Host-baséiert Intrusiounserkennungssystem, an den OpenVAS Schwachstelle Scanner.
Fir Apparater ze iwwerwaachen, gëtt den AlienVault Agent benotzt, dee Logbicher vum Host am Syslog-Format op d'GELF Plattform schéckt, oder e Plugin kann fir Integratioun mat Drëtt-Partei-Servicer benotzt ginn, wéi zum Beispill de Cloudflare Websäit Reverse Proxy Service oder den Okta Multi -Faktor Authentifikatioun System.
D'USM Versioun ënnerscheet sech vun OSSIM mat verstäerkter Funktionalitéit fir Logverwaltung, Cloud Infrastruktur Iwwerwaachung, Automatisatioun, an aktualiséiert Bedrohungsinformatioun a Visualiséierung.
Virdeeler
- Gebaut op bewisen Open-Source Projeten;
- Grouss Gemeinschaft vu Benotzer an Entwéckler.
Defiziter
- Ënnerstëtzt keng Iwwerwaachung vu Cloud Plattformen (zum Beispill AWS oder Azure);
- Et gëtt keng Logverwaltung, Visualiséierung, Automatisatioun oder Integratioun mat Drëtt Partei Servicer.
MozDef (Mozilla Defense Platform)
De MozDef SIEM System entwéckelt vu Mozilla gëtt benotzt fir Sécherheetsincidentveraarbechtungsprozesser ze automatiséieren. De System ass aus dem Buedem entwéckelt fir maximal Leeschtung, Skalierbarkeet a Feelertoleranz z'erreechen, mat enger Mikroservicearchitektur - all Service leeft an engem Docker Container.
Wéi OSSIM, MozDef ass op Zäit-getest Open Source Projeten gebaut, dorënner den Elasticsearch Log Indexéierung a Sich Modul, d'Meteor Plattform fir eng flexibel Webinterface ze bauen, an de Kibana Plugin fir Visualiséierung a Plotte.
Event Korrelatioun an Alarm ginn duerch Elasticsearch Ufroen ausgefouert, wat Iech erlaabt Är eege Eventveraarbechtung an Alarmregele mat Python ze schreiwen. No Mozilla kann MozDef méi wéi 300 Milliounen Eventer pro Dag veraarbechten. MozDef akzeptéiert nëmmen Eventer am JSON Format, awer et gëtt Integratioun mat Drëtt Partei Servicer.
Virdeeler
- Benotzt keng Agenten - funktionnéiert mat Standard JSON Logbicher;
- Einfach Skalen dank der Mikroservicearchitektur;
- Ënnerstëtzt Cloud Service Datenquellen abegraff AWS CloudTrail a GuardDuty.
Defiziter
- Neien a manner etabléiert System.
Wazuh
Wazuh huet d'Entwécklung als Gabel vun OSSEC ugefaang, ee vun de populäersten Open Source SIEMs. An elo ass et seng eege eenzegaarteg Léisung mat neier Funktionalitéit, Bugfixes an optimiséierter Architektur.
De System ass op den ElasticStack Stack gebaut (Elasticsearch, Logstash, Kibana) an ënnerstëtzt souwuel Agent-baséiert Datesammlung a System Log-Intake. Dëst mécht et effektiv fir Iwwerwaachungsapparater déi Logbicher generéieren, awer net Agentinstallatioun ënnerstëtzen - Netzwierkapparater, Dréckeren a Peripherieger.
Wazuh ënnerstëtzt existent OSSEC Agenten a bitt souguer Orientatioun iwwer d'Migratioun vun OSSEC op Wazuh. Och wann OSSEC nach ëmmer aktiv ënnerstëtzt gëtt, gëtt Wazuh als Fortsetzung vun OSSEC gesi wéinst der Zousatz vun enger neier Webinterface, REST API, e méi komplette Set vu Regelen a vill aner Verbesserungen.
Virdeeler
- Baséiert op a kompatibel mat der populärer SIEM OSSEC;
- Ënnerstëtzt verschidde Installatiounsoptiounen: Docker, Puppet, Chef, Ansible;
- Ënnerstëtzt Iwwerwaachung vu Cloud Servicer, dorënner AWS an Azure;
- Ëmfaasst eng ëmfaassend Rei vu Reegelen fir verschidden Aarte vun Attacken z'entdecken an erlaabt Iech se am Aklang mat PCI DSS v3.1 an CIS ze vergläichen.
- Integréiert mat der Splunk Log Späicher an Analyse System fir Eventvisualiséierung an API Support.
Defiziter
- Komplex Architektur - erfuerdert e vollen Elastic Stack Deployment zousätzlech zu Wazuh Backend Komponenten.
Prélude OS
Prelude OSS ass eng Open-Source Versioun vum kommerziellen Prelude SIEM, entwéckelt vun der franséischer Firma CS. D'Léisung ass e flexibelen, modulare SIEM-System deen verschidde Logformate ënnerstëtzt, Integratioun mat Drëtt-Partei-Tools wéi OSSEC, Snort an dem Suricata Netzwierkerkennungssystem.
All Event gëtt normaliséiert an e Message mat dem IDMEF Format, wat den Datenaustausch mat anere Systemer vereinfacht. Awer et gëtt eng Méck an der Sallef - Prelude OSS ass ganz limitéiert a Leeschtung a Funktionalitéit am Verglach mat der kommerzieller Versioun vum Prelude SIEM, an ass méi fir kleng Projeten geduecht oder fir SIEM Léisungen ze studéieren an Prelude SIEM ze evaluéieren.
Virdeeler
- Zäit-getest System, entwéckelt zënter 1998;
- Ënnerstëtzt vill verschidde Logformater;
- Normaliséiert Daten op IMDEF Format, sou datt et einfach ass Daten op aner Sécherheetssystemer ze transferéieren.
Defiziter
- Bedeitend limitéiert a Funktionalitéit a Leeschtung am Verglach mat anere Open-Source SIEM Systemer.
sagan
Sagan ass en High-Performance SIEM deen d'Kompatibilitéit mat Snort betount. Zousätzlech fir d'Regele fir Snort z'ënnerstëtzen, kann de Sagan op d'Snort-Datebank schreiwen a ka souguer mat der Shuil Interface benotzt ginn. Wesentlech ass et eng liicht Multi-threaded Léisung déi nei Features ubitt wärend se frëndlech bleift fir Snort Benotzer.
Virdeeler
- Ganz kompatibel mat Snort Datebank, Regelen, a Benotzer Interface;
- Multi-threaded Architektur bitt héich Leeschtung.
Defiziter
- E relativ jonke Projet mat enger klenger Gemeng;
- E komplexe Installatiounsprozess deen involvéiert de ganze SIEM aus der Quell ze bauen.
Konklusioun
Jiddereng vun den beschriwwene SIEM Systemer huet seng eege Charakteristiken a Aschränkungen, sou datt se net als universell Léisung fir all Organisatioun genannt kënne ginn. Wéi och ëmmer, dës Léisunge sinn Open Source, wat et erlaabt datt se ofgesat, getest an evaluéiert ginn ouni exzessiv Käschten ze maachen.
Wat soss interessant kënnt Dir um Blog liesen?
→
→
→
→
→
Abonnéiert Iech op eis
Source: will.com