Kuo geras IT saugos specialistas skiriasi nuo paprasto? Ne, ne dėl to, kad bet kuriuo metu jis gali iš atminties įvardyti, kiek žinučių vadovas Igoris vakar išsiuntė savo kolegei Marijai. Geras saugumo specialistas stengiasi iš anksto nustatyti galimus pažeidimus ir juos pagauti realiu laiku, deda visas pastangas, kad incidentas nesitęstų. Saugumo įvykių valdymo sistemos (SIEM, iš saugos informacijos ir įvykių valdymo) labai supaprastina užduotį greitai įrašyti ir blokuoti bet kokius bandomus pažeidimus.
Tradiciškai SIEM sistemos sujungia informacijos saugumo valdymo sistemą ir saugos įvykių valdymo sistemą. Svarbi sistemų savybė – saugumo įvykių analizė realiuoju laiku, leidžianti į juos reaguoti prieš atsirandant esamai žalai.
Pagrindinės SIEM sistemų užduotys:
- Duomenų rinkimas ir normalizavimas
- Duomenų koreliacija
- Budrus
- Vizualizacijos skydeliai
- Duomenų saugojimo organizavimas
- Duomenų paieška ir analizė
- Ataskaitų teikimas
Didelės SIEM sistemų paklausos priežastys
Pastaruoju metu labai išaugo atakų prieš informacines sistemas sudėtingumas ir koordinavimas. Tuo pat metu sudėtingėja ir naudojamų informacijos saugos priemonių kompleksas – tinklo ir pagrindinio kompiuterio įsilaužimo aptikimo sistemos, DLP sistemos, antivirusinės sistemos ir ugniasienės, pažeidžiamumo skaitytuvai ir kt. Kiekvienas saugos įrankis generuoja įvykių srautą su įvairaus detalumo lygiu, ir dažnai ataka gali būti matoma tik persidengiant įvykiams iš skirtingų sistemų.
Yra daug apie visas komercines SIEM sistemas , tačiau siūlome trumpą nemokamų, visavertių atvirojo kodo SIEM sistemų apžvalgą, kurios neturi dirbtinių vartotojų skaičiaus ar priimamų saugomų duomenų apimties apribojimų, taip pat yra lengvai keičiamos ir palaikomos. Tikimės, kad tai padės įvertinti tokių sistemų potencialą ir nuspręsti, ar tokius sprendimus verta integruoti į įmonės verslo procesus.
AlienVault OSSIM
AlienVault OSSIM yra atvirojo kodo AlienVault USM, vienos iš pirmaujančių komercinių SIEM sistemų, versija. OSSIM yra sistema, susidedanti iš kelių atvirojo kodo projektų, įskaitant Snort tinklo įsibrovimų aptikimo sistemą, Nagios tinklo ir pagrindinio kompiuterio stebėjimo sistemą, OSSEC pagrindiniu pagrindu veikiančią įsibrovimų aptikimo sistemą ir OpenVAS pažeidžiamumo skaitytuvą.
Įrenginiams stebėti naudojamas AlienVault agentas, kuris siunčia žurnalus iš pagrindinio kompiuterio syslog formatu į GELF platformą, arba galima naudoti papildinį integruojant su trečiųjų šalių paslaugomis, tokiomis kaip Cloudflare svetainės atvirkštinio tarpinio serverio paslauga arba Okta multi. - faktoriaus autentifikavimo sistema.
USM versija skiriasi nuo OSSIM su patobulintomis žurnalų valdymo, debesų infrastruktūros stebėjimo, automatizavimo funkcijomis ir atnaujinta informacija apie grėsmes bei vizualizavimą.
privalumai
- Sukurta pagal patikrintus atvirojo kodo projektus;
- Didelė vartotojų ir kūrėjų bendruomenė.
Trūkumai
- Nepalaiko debesų platformų stebėjimo (pvz., AWS arba Azure);
- Nėra žurnalų valdymo, vizualizavimo, automatizavimo ar integravimo su trečiųjų šalių paslaugomis.
„MozDef“ („Mozilla Defense“ platforma)
Mozilla sukurta MozDef SIEM sistema naudojama automatizuoti saugumo incidentų apdorojimo procesus. Sistema sukurta nuo pat pradžių, kad būtų pasiektas maksimalus našumas, mastelio keitimas ir atsparumas gedimams, naudojant mikro paslaugų architektūrą – kiekviena paslauga veikia Docker konteineryje.
Kaip ir OSSIM, MozDef sukurtas remiantis laiko patikrintais atvirojo kodo projektais, įskaitant Elasticsearch žurnalų indeksavimo ir paieškos modulį, platformą „Meteor“, skirtą lanksčiai žiniatinklio sąsajai kurti, ir „Kibana“ įskiepį vizualizavimui ir braižymui.
Įvykių koreliacija ir įspėjimai atliekami naudojant Elasticsearch užklausas, kurios leidžia parašyti savo įvykių apdorojimo ir įspėjimo taisykles naudojant Python. „Mozilla“ teigimu, „MozDef“ gali apdoroti daugiau nei 300 milijonų įvykių per dieną. „MozDef“ priima tik įvykius JSON formatu, tačiau yra integracija su trečiųjų šalių paslaugomis.
privalumai
- Nenaudoja agentų – dirba su standartiniais JSON žurnalais;
- Lengvai keičiasi dėl mikro paslaugų architektūros;
- Palaiko debesų paslaugų duomenų šaltinius, įskaitant AWS CloudTrail ir GuardDuty.
Trūkumai
- Nauja ir mažiau nusistovėjusi sistema.
Wazuh
„Wazuh“ pradėjo kurti kaip OSSEC, vieno iš populiariausių atvirojo kodo SIEM, šakutė. O dabar tai yra unikalus sprendimas su naujomis funkcijomis, klaidų pataisymais ir optimizuota architektūra.
Sistema sukurta ElasticStack dėklo pagrindu (Elasticsearch, Logstash, Kibana) ir palaiko tiek agentu pagrįstą duomenų rinkimą, tiek sistemos žurnalų perkėlimą. Dėl to jis veiksmingas stebint įrenginius, kurie generuoja žurnalus, bet nepalaiko agento diegimo – tinklo įrenginius, spausdintuvus ir išorinius įrenginius.
Wazuh palaiko esamus OSSEC agentus ir netgi pateikia gaires, kaip pereiti iš OSSEC į Wazuh. Nors OSSEC vis dar aktyviai palaikoma, Wazuh yra laikomas OSSEC tęsiniu, nes pridėta nauja žiniatinklio sąsaja, REST API, išsamesnis taisyklių rinkinys ir daugybė kitų patobulinimų.
privalumai
- Pagrįsta ir suderinama su populiariuoju SIEM OSSEC;
- Palaiko įvairias diegimo parinktis: Docker, Puppet, Chef, Ansible;
- Palaiko debesies paslaugų, įskaitant AWS ir Azure, stebėjimą;
- Apima išsamų taisyklių rinkinį, skirtą kelių tipų atakoms aptikti, ir leidžia jas palyginti pagal PCI DSS v3.1 ir CIS.
- Integruojamas su Splunk žurnalų saugojimo ir analizės sistema įvykių vizualizavimui ir API palaikymui.
Trūkumai
- Sudėtinga architektūra – be „Wazuh“ užpakalinių komponentų, reikalingas visas Elastic Stack diegimas.
Preliudija OS
Prelude OSS yra atvirojo kodo komercinio Prelude SIEM versija, kurią sukūrė prancūzų kompanija CS. Sprendimas yra lanksti, modulinė SIEM sistema, kuri palaiko kelis žurnalų formatus, integraciją su trečiųjų šalių įrankiais, tokiais kaip OSSEC, Snort ir Suricata tinklo aptikimo sistema.
Kiekvienas įvykis normalizuojamas į pranešimą naudojant IDMEF formatą, kuris supaprastina duomenų mainus su kitomis sistemomis. Tačiau yra ir musė – Prelude OSS, palyginti su komercine Prelude SIEM versija, yra labai ribotas našumu ir funkcionalumu, ir yra skirtas daugiau smulkiems projektams arba SIEM sprendimų studijoms ir Prelude SIEM vertinimui.
privalumai
- Laiko patikrinta sistema, sukurta nuo 1998 m.;
- Palaiko daugybę skirtingų žurnalų formatų;
- Normalizuoja duomenis į IMDEF formatą, todėl juos lengva perkelti į kitas apsaugos sistemas.
Trūkumai
- Žymiai ribotas funkcionalumas ir našumas, palyginti su kitomis atvirojo kodo SIEM sistemomis.
Sagan
„Sagan“ yra didelio našumo SIEM, pabrėžiantis suderinamumą su „Snort“. Be „Snort“ parašytų taisyklių, „Sagan“ gali rašyti į „Snort“ duomenų bazę ir netgi gali būti naudojamas su „Shuil“ sąsaja. Iš esmės tai lengvas kelių sriegių sprendimas, siūlantis naujas funkcijas ir išlikęs draugiškas „Snort“ naudotojams.
privalumai
- Visiškai suderinamas su Snort duomenų baze, taisyklėmis ir vartotojo sąsaja;
- Kelių sriegių architektūra užtikrina aukštą našumą.
Trūkumai
- Palyginti jaunas projektas su nedidele bendruomene;
- Sudėtingas diegimo procesas, apimantis viso SIEM kūrimą iš šaltinio.
išvada
Kiekviena iš aprašytų SIEM sistemų turi savo ypatybes ir apribojimus, todėl jų negalima pavadinti universaliu sprendimu bet kuriai organizacijai. Tačiau šie sprendimai yra atvirojo kodo, todėl juos galima įdiegti, išbandyti ir įvertinti nepatiriant didelių išlaidų.
Ką dar įdomaus galite paskaityti tinklaraštyje?
→
→
→
→
→
Užsiprenumeruokite mūsų -kanalas, kad nepraleistumėte kito straipsnio! Rašome ne dažniau kaip du kartus per savaitę ir tik darbo reikalais.
Šaltinis: www.habr.com