Ar ko labs IT droŔības speciÄlists atŔķiras no parasta? NÄ, ne ar to, ka viÅÅ” jebkurÄ brÄ«dÄ« pÄc atmiÅas var nosaukt ziÅojumu skaitu, ko vadÄ«tÄjs Igors vakar nosÅ«tÄ«ja savai kolÄÄ£ei Marijai. Labs droŔības speciÄlists cenÅ”as jau iepriekÅ” identificÄt iespÄjamos pÄrkÄpumus un pieÄ·ert tos reÄllaikÄ, pieliekot visas pÅ«les, lai incidents neturpinÄs. DroŔības notikumu pÄrvaldÄ«bas sistÄmas (SIEM, no droŔības informÄcijas un notikumu pÄrvaldÄ«bas) ievÄrojami vienkÄrÅ”o uzdevumu Ätri reÄ£istrÄt un bloÄ·Ät visus pÄrkÄpumu mÄÄ£inÄjumus.
TradicionÄli SIEM sistÄmas apvieno informÄcijas droŔības pÄrvaldÄ«bas sistÄmu un droŔības notikumu pÄrvaldÄ«bas sistÄmu. SvarÄ«ga sistÄmu iezÄ«me ir droŔības notikumu analÄ«ze reÄllaikÄ, kas ļauj reaÄ£Ät uz tiem, pirms rodas esoÅ”ie bojÄjumi.
SIEM sistÄmu galvenie uzdevumi:
- Datu vÄkÅ”ana un normalizÄcija
- Datu korelÄcija
- BrÄ«dinÄjums
- VizualizÄcijas paneļi
- Datu uzglabÄÅ”anas organizÄÅ”ana
- Datu meklÄÅ”ana un analÄ«ze
- ZiÅoÅ”ana
Iemesli lielajam pieprasÄ«jumam pÄc SIEM sistÄmÄm
PÄdÄjÄ laikÄ ir ievÄrojami palielinÄjusies informÄcijas sistÄmu uzbrukumu sarežģītÄ«ba un koordinÄcija. Vienlaikus arvien sarežģītÄks kļūst arÄ« izmantoto informÄcijas droŔības rÄ«ku komplekss ā uz tÄ«klu un resursdatoriem balstÄ«tas ielauÅ”anÄs atklÄÅ”anas sistÄmas, DLP sistÄmas, pretvÄ«rusu sistÄmas un ugunsmÅ«ri, ievainojamÄ«bas skeneri u.c. Katrs droŔības rÄ«ks Ä£enerÄ notikumu straumi ar dažÄdu detalizÄcijas pakÄpi, un bieži vien uzbrukumu var redzÄt tikai tad, ja notikumi no dažÄdÄm sistÄmÄm pÄrklÄjas.
Ir daudz par visu veidu komerciÄlajÄm SIEM sistÄmÄm
AlienVault OSSIM
AlienVault OSSIM ir vienas no vadoÅ”ajÄm komerciÄlajÄm SIEM sistÄmÄm AlienVault USM atvÄrtÄ pirmkoda versija. OSSIM ir sistÄma, kas sastÄv no vairÄkiem atvÄrtÄ pirmkoda projektiem, tostarp Snort tÄ«kla ielauÅ”anÄs atklÄÅ”anas sistÄmas, Nagios tÄ«kla un resursdatora uzraudzÄ«bas sistÄmas, OSSEC resursdatora ielauÅ”anÄs atklÄÅ”anas sistÄmas un OpenVAS ievainojamÄ«bas skenera.
IerÄ«Äu pÄrraudzÄ«bai tiek izmantots AlienVault aÄ£ents, kas no resursdatora nosÅ«ta žurnÄlus syslog formÄtÄ uz GELF platformu, vai arÄ« var izmantot spraudni integrÄcijai ar treÅ”o puÅ”u pakalpojumiem, piemÄram, Cloudflare vietnes reversÄ starpniekservera pakalpojumu vai Okta multi. -faktoru autentifikÄcijas sistÄma.
USM versija atŔķiras no OSSIM ar uzlabotu funkcionalitÄti žurnÄlu pÄrvaldÄ«bai, mÄkoÅa infrastruktÅ«ras uzraudzÄ«bai, automatizÄcijai un atjauninÄtai informÄcijai par draudiem un vizualizÄcijai.
PriekŔrocības
- Veidota uz pÄrbaudÄ«tiem atvÄrtÄ pirmkoda projektiem;
- Liela lietotÄju un izstrÄdÄtÄju kopiena.
Ierobežojumi
- Neatbalsta mÄkoÅu platformu uzraudzÄ«bu (piemÄram, AWS vai Azure);
- Nav žurnÄlu pÄrvaldÄ«bas, vizualizÄcijas, automatizÄcijas vai integrÄcijas ar treÅ”o puÅ”u pakalpojumiem.
MozDef (Mozilla Defense Platform)
Mozilla izstrÄdÄtÄ MozDef SIEM sistÄma tiek izmantota droŔības incidentu apstrÄdes procesu automatizÄÅ”anai. SistÄma ir izstrÄdÄta no paÅ”a sÄkuma, lai sasniegtu maksimÄlu veiktspÄju, mÄrogojamÄ«bu un kļūdu toleranci, izmantojot mikropakalpojumu arhitektÅ«ru ā katrs pakalpojums darbojas Docker konteinerÄ.
TÄpat kÄ OSSIM, arÄ« MozDef ir balstÄ«ts uz laika pÄrbaudÄ«tiem atvÄrtÄ pirmkoda projektiem, tostarp Elasticsearch žurnÄlu indeksÄÅ”anas un meklÄÅ”anas moduli, Meteor platformu elastÄ«gas tÄ«mekļa saskarnes izveidei un Kibana spraudni vizualizÄcijai un zÄ«mÄÅ”anai.
Notikumu korelÄcija un brÄ«dinÄjumi tiek veikti, izmantojot Elasticsearch vaicÄjumus, kas ļauj rakstÄ«t savus notikumu apstrÄdes un brÄ«dinÄÅ”anas noteikumus, izmantojot Python. SaskaÅÄ ar Mozilla datiem, MozDef var apstrÄdÄt vairÄk nekÄ 300 miljonus notikumu dienÄ. MozDef pieÅem notikumus tikai JSON formÄtÄ, taÄu pastÄv integrÄcija ar treÅ”o puÅ”u pakalpojumiem.
PriekŔrocības
- Neizmanto aÄ£entus - darbojas ar standarta JSON žurnÄliem;
- Viegli mÄrogojams, pateicoties mikropakalpojumu arhitektÅ«rai;
- Atbalsta mÄkoÅpakalpojumu datu avotus, tostarp AWS CloudTrail un GuardDuty.
Ierobežojumi
- Jauna un mazÄk izveidota sistÄma.
Wazuh
Wazuh sÄka attÄ«stÄ«ties kÄ OSSEC, viena no populÄrÄkajÄm atvÄrtÄ pirmkoda SIEM, dakÅ”a. Un tagad tas ir savs unikÄlais risinÄjums ar jaunu funkcionalitÄti, kļūdu labojumiem un optimizÄtu arhitektÅ«ru.
SistÄma ir veidota uz ElasticStack steku (Elasticsearch, Logstash, Kibana) un atbalsta gan uz aÄ£entiem balstÄ«tu datu vÄkÅ”anu, gan sistÄmas žurnÄlu pÄrsÅ«tÄ«Å”anu. Tas padara to efektÄ«vu tÄdu ierÄ«Äu pÄrraudzÄ«bai, kas Ä£enerÄ Å¾urnÄlus, bet neatbalsta aÄ£entu instalÄÅ”anu ā tÄ«kla ierÄ«ces, printeri un perifÄrijas ierÄ«ces.
Wazuh atbalsta esoÅ”os OSSEC aÄ£entus un pat sniedz norÄdÄ«jumus par migrÄÅ”anu no OSSEC uz Wazuh. Lai gan OSSEC joprojÄm tiek aktÄ«vi atbalstÄ«ts, Wazuh tiek uzskatÄ«ts par OSSEC turpinÄjumu, jo ir pievienota jauna tÄ«mekļa saskarne, REST API, pilnÄ«gÄks noteikumu kopums un daudzi citi uzlabojumi.
PriekŔrocības
- BalstÄ«ts un saderÄ«gs ar populÄro SIEM OSSEC;
- Atbalsta dažÄdas instalÄÅ”anas iespÄjas: Docker, Puppet, Chef, Ansible;
- Atbalsta mÄkoÅpakalpojumu uzraudzÄ«bu, tostarp AWS un Azure;
- Ietver visaptveroÅ”u noteikumu kopumu vairÄku veidu uzbrukumu noteikÅ”anai un ļauj tos salÄ«dzinÄt saskaÅÄ ar PCI DSS v3.1 un CIS.
- IntegrÄjas ar Splunk žurnÄlu krÄtuves un analÄ«zes sistÄmu notikumu vizualizÄÅ”anai un API atbalstam.
Ierobežojumi
- Sarežģīta arhitektÅ«ra ā papildus Wazuh aizmugursistÄmas komponentiem nepiecieÅ”ama pilnÄ«ga elastÄ«gÄ steka izvietoÅ”ana.
Prelūdija OS
Prelude OSS ir komerciÄlÄ Prelude SIEM atvÄrtÄ pirmkoda versija, ko izstrÄdÄjis franÄu uzÅÄmums CS. RisinÄjums ir elastÄ«ga, modulÄra SIEM sistÄma, kas atbalsta vairÄkus žurnÄlu formÄtus, integrÄciju ar treÅ”o puÅ”u rÄ«kiem, piemÄram, OSSEC, Snort un Suricata tÄ«kla noteikÅ”anas sistÄmu.
Katrs notikums tiek normalizÄts ziÅojumÄ, izmantojot IDMEF formÄtu, kas vienkÄrÅ”o datu apmaiÅu ar citÄm sistÄmÄm. Bet tur ir muÅ”a ā Prelude OSS ir ļoti ierobežota veiktspÄjas un funkcionalitÄtes ziÅÄ, salÄ«dzinot ar Prelude SIEM komerciÄlo versiju, un ir paredzÄta vairÄk maziem projektiem vai SIEM risinÄjumu pÄtÄ«Å”anai un Prelude SIEM izvÄrtÄÅ”anai.
PriekŔrocības
- Laika gaitÄ pÄrbaudÄ«ta sistÄma, izstrÄdÄta kopÅ” 1998. gada;
- Atbalsta daudz dažÄdu žurnÄlu formÄtu;
- NormalizÄ datus IMDEF formÄtÄ, atvieglojot datu pÄrsÅ«tÄ«Å”anu uz citÄm droŔības sistÄmÄm.
Ierobežojumi
- IevÄrojami ierobežota funkcionalitÄte un veiktspÄja salÄ«dzinÄjumÄ ar citÄm atvÄrtÄ koda SIEM sistÄmÄm.
Sagans
Sagan ir augstas veiktspÄjas SIEM, kas uzsver saderÄ«bu ar Snort. Papildus atbalsta noteikumiem, kas rakstÄ«ti Snort, Sagan var rakstÄ«t Snort datu bÄzÄ un pat to var izmantot ar Shuil saskarni. BÅ«tÄ«bÄ tas ir viegls vairÄku vÄ«tÅu risinÄjums, kas piedÄvÄ jaunas funkcijas, vienlaikus saglabÄjot draudzÄ«gumu Snort lietotÄjiem.
PriekŔrocības
- PilnÄ«bÄ savietojams ar Snort datu bÄzi, noteikumiem un lietotÄja interfeisu;
- Daudzpavedienu arhitektÅ«ra nodroÅ”ina augstu veiktspÄju.
Ierobežojumi
- SalīdzinoŔi jauns projekts ar nelielu kopienu;
- Sarežģīts instalÄÅ”anas process, kas ietver visa SIEM izveidi no avota.
SecinÄjums
Katrai no aprakstÄ«tajÄm SIEM sistÄmÄm ir savas Ä«patnÄ«bas un ierobežojumi, tÄpÄc tÄs nevar saukt par universÄlu risinÄjumu nevienai organizÄcijai. TomÄr Å”ie risinÄjumi ir atvÄrtÄ koda, kas ļauj tos izvietot, pÄrbaudÄ«t un novÄrtÄt, neradot pÄrmÄrÄ«gas izmaksas.
Ko vÄl interesantu var izlasÄ«t emuÄrÄ?
ā
ā
ā
ā
ā
AbonÄjiet mÅ«su
Avots: www.habr.com