5 atvērtā koda drošības notikumu vadības sistēmas

Ar ko labs IT drošības speciālists atšķiras no parasta? Nē, ne ar to, ka viņš jebkurā brīdī pēc atmiņas var nosaukt ziņojumu skaitu, ko vadītājs Igors vakar nosūtīja savai kolēģei Marijai. Labs drošības speciālists cenšas jau iepriekš identificēt iespējamos pārkāpumus un pieķert tos reāllaikā, pieliekot visas pūles, lai incidents neturpinās. Drošības notikumu pārvaldības sistēmas (SIEM, no drošības informācijas un notikumu pārvaldības) ievērojami vienkāršo uzdevumu ātri reģistrēt un bloķēt visus pārkāpumu mēģinājumus.

Tradicionāli SIEM sistēmas apvieno informācijas drošības pārvaldības sistēmu un drošības notikumu pārvaldības sistēmu. Svarīga sistēmu iezīme ir drošības notikumu analīze reāllaikā, kas ļauj reaģēt uz tiem, pirms rodas esošie bojājumi.

SIEM sistēmu galvenie uzdevumi:

• Datu vākšana un normalizācija
• Datu korelācija
• Brīdinājums
• Vizualizācijas paneļi
• Datu uzglabāšanas organizēšana
• Datu meklēšana un analīze
• Ziņošana

Iemesli lielajam pieprasījumam pēc SIEM sistēmām

Pēdējā laikā ir ievērojami palielinājusies informācijas sistēmu uzbrukumu sarežģītība un koordinācija. Vienlaikus arvien sarežģītāks kļūst arī izmantoto informācijas drošības rīku komplekss — uz tīklu un resursdatoriem balstītas ielaušanās atklāšanas sistēmas, DLP sistēmas, pretvīrusu sistēmas un ugunsmūri, ievainojamības skeneri u.c. Katrs drošības rīks ģenerē notikumu straumi ar dažādu detalizācijas pakāpi, un bieži vien uzbrukumu var redzēt tikai tad, ja notikumi no dažādām sistēmām pārklājas.

Ir daudz par visu veidu komerciālajām SIEM sistēmām tas ir rakstīts, taču piedāvājam īsu pārskatu par bezmaksas, pilnvērtīgām atvērtā pirmkoda SIEM sistēmām, kurām nav mākslīgi ierobežojumi lietotāju skaitam vai pieņemto glabājamo datu apjomam, kā arī tās ir viegli mērogojamas un atbalstāmas. Mēs ceram, ka tas palīdzēs novērtēt šādu sistēmu potenciālu un izlemt, vai šādus risinājumus ir vērts integrēt uzņēmuma biznesa procesos.

AlienVault OSSIM

AlienVault OSSIM ir vienas no vadošajām komerciālajām SIEM sistēmām AlienVault USM atvērtā pirmkoda versija. OSSIM ir sistēma, kas sastāv no vairākiem atvērtā pirmkoda projektiem, tostarp Snort tīkla ielaušanās atklāšanas sistēmas, Nagios tīkla un resursdatora uzraudzības sistēmas, OSSEC resursdatora ielaušanās atklāšanas sistēmas un OpenVAS ievainojamības skenera.

Ierīču pārraudzībai tiek izmantots AlienVault aģents, kas no resursdatora nosūta žurnālus syslog formātā uz GELF platformu, vai arī var izmantot spraudni integrācijai ar trešo pušu pakalpojumiem, piemēram, Cloudflare vietnes reversā starpniekservera pakalpojumu vai Okta multi. -faktoru autentifikācijas sistēma.

USM versija atšķiras no OSSIM ar uzlabotu funkcionalitāti žurnālu pārvaldībai, mākoņa infrastruktūras uzraudzībai, automatizācijai un atjauninātai informācijai par draudiem un vizualizācijai.

Priekšrocības

• Veidota uz pārbaudītiem atvērtā pirmkoda projektiem;
• Liela lietotāju un izstrādātāju kopiena.

Ierobežojumi

• Neatbalsta mākoņu platformu uzraudzību (piemēram, AWS vai Azure);
• Nav žurnālu pārvaldības, vizualizācijas, automatizācijas vai integrācijas ar trešo pušu pakalpojumiem.

avots

MozDef (Mozilla Defense Platform)

Mozilla izstrādātā MozDef SIEM sistēma tiek izmantota drošības incidentu apstrādes procesu automatizēšanai. Sistēma ir izstrādāta no paša sākuma, lai sasniegtu maksimālu veiktspēju, mērogojamību un kļūdu toleranci, izmantojot mikropakalpojumu arhitektūru – katrs pakalpojums darbojas Docker konteinerā.

Tāpat kā OSSIM, arī MozDef ir balstīts uz laika pārbaudītiem atvērtā pirmkoda projektiem, tostarp Elasticsearch žurnālu indeksēšanas un meklēšanas moduli, Meteor platformu elastīgas tīmekļa saskarnes izveidei un Kibana spraudni vizualizācijai un zīmēšanai.

Notikumu korelācija un brīdinājumi tiek veikti, izmantojot Elasticsearch vaicājumus, kas ļauj rakstīt savus notikumu apstrādes un brīdināšanas noteikumus, izmantojot Python. Saskaņā ar Mozilla datiem, MozDef var apstrādāt vairāk nekā 300 miljonus notikumu dienā. MozDef pieņem notikumus tikai JSON formātā, taču pastāv integrācija ar trešo pušu pakalpojumiem.

Priekšrocības

• Neizmanto aģentus - darbojas ar standarta JSON žurnāliem;
• Viegli mērogojams, pateicoties mikropakalpojumu arhitektūrai;
• Atbalsta mākoņpakalpojumu datu avotus, tostarp AWS CloudTrail un GuardDuty.

Ierobežojumi

• Jauna un mazāk izveidota sistēma.

avots

Wazuh

Wazuh sāka attīstīties kā OSSEC, viena no populārākajām atvērtā pirmkoda SIEM, dakša. Un tagad tas ir savs unikālais risinājums ar jaunu funkcionalitāti, kļūdu labojumiem un optimizētu arhitektūru.

Sistēma ir veidota uz ElasticStack steku (Elasticsearch, Logstash, Kibana) un atbalsta gan uz aģentiem balstītu datu vākšanu, gan sistēmas žurnālu pārsūtīšanu. Tas padara to efektīvu tādu ierīču pārraudzībai, kas ģenerē žurnālus, bet neatbalsta aģentu instalēšanu — tīkla ierīces, printeri un perifērijas ierīces.

Wazuh atbalsta esošos OSSEC aģentus un pat sniedz norādījumus par migrēšanu no OSSEC uz Wazuh. Lai gan OSSEC joprojām tiek aktīvi atbalstīts, Wazuh tiek uzskatīts par OSSEC turpinājumu, jo ir pievienota jauna tīmekļa saskarne, REST API, pilnīgāks noteikumu kopums un daudzi citi uzlabojumi.

Priekšrocības

• Balstīts un saderīgs ar populāro SIEM OSSEC;
• Atbalsta dažādas instalēšanas iespējas: Docker, Puppet, Chef, Ansible;
• Atbalsta mākoņpakalpojumu uzraudzību, tostarp AWS un Azure;
• Ietver visaptverošu noteikumu kopumu vairāku veidu uzbrukumu noteikšanai un ļauj tos salīdzināt saskaņā ar PCI DSS v3.1 un CIS.
• Integrējas ar Splunk žurnālu krātuves un analīzes sistēmu notikumu vizualizēšanai un API atbalstam.

Ierobežojumi

• Sarežģīta arhitektūra — papildus Wazuh aizmugursistēmas komponentiem nepieciešama pilnīga elastīgā steka izvietošana.

avots

Prelūdija OS

Prelude OSS ir komerciālā Prelude SIEM atvērtā pirmkoda versija, ko izstrādājis franču uzņēmums CS. Risinājums ir elastīga, modulāra SIEM sistēma, kas atbalsta vairākus žurnālu formātus, integrāciju ar trešo pušu rīkiem, piemēram, OSSEC, Snort un Suricata tīkla noteikšanas sistēmu.

Katrs notikums tiek normalizēts ziņojumā, izmantojot IDMEF formātu, kas vienkāršo datu apmaiņu ar citām sistēmām. Bet tur ir muša – Prelude OSS ir ļoti ierobežota veiktspējas un funkcionalitātes ziņā, salīdzinot ar Prelude SIEM komerciālo versiju, un ir paredzēta vairāk maziem projektiem vai SIEM risinājumu pētīšanai un Prelude SIEM izvērtēšanai.

Priekšrocības

• Laika gaitā pārbaudīta sistēma, izstrādāta kopš 1998. gada;
• Atbalsta daudz dažādu žurnālu formātu;
• Normalizē datus IMDEF formātā, atvieglojot datu pārsūtīšanu uz citām drošības sistēmām.

Ierobežojumi

• Ievērojami ierobežota funkcionalitāte un veiktspēja salīdzinājumā ar citām atvērtā koda SIEM sistēmām.

avots

Sagans

Sagan ir augstas veiktspējas SIEM, kas uzsver saderību ar Snort. Papildus atbalsta noteikumiem, kas rakstīti Snort, Sagan var rakstīt Snort datu bāzē un pat to var izmantot ar Shuil saskarni. Būtībā tas ir viegls vairāku vītņu risinājums, kas piedāvā jaunas funkcijas, vienlaikus saglabājot draudzīgumu Snort lietotājiem.

Priekšrocības

• Pilnībā savietojams ar Snort datu bāzi, noteikumiem un lietotāja interfeisu;
• Daudzpavedienu arhitektūra nodrošina augstu veiktspēju.

Ierobežojumi

• Salīdzinoši jauns projekts ar nelielu kopienu;
• Sarežģīts instalēšanas process, kas ietver visa SIEM izveidi no avota.

avots

Secinājums

Katrai no aprakstītajām SIEM sistēmām ir savas īpatnības un ierobežojumi, tāpēc tās nevar saukt par universālu risinājumu nevienai organizācijai. Tomēr šie risinājumi ir atvērtā koda, kas ļauj tos izvietot, pārbaudīt un novērtēt, neradot pārmērīgas izmaksas.

Ko vēl interesantu var izlasīt emuārā? Cloud4Y

→ Visas planētas VNIITE: kā PSRS tika izgudrota “gudrās mājas” sistēma
→ Kā neironu saskarnes palīdz cilvēcei
→ Kiberapdrošināšana Krievijas tirgū
→ Gaisma, kamera... mākonis: kā mākoņi maina filmu industriju
→ Futbols mākoņos – mode vai nepieciešamība?

Abonējiet mūsu Telegram-kanāls, lai nepalaistu garām nākamo rakstu! Mēs rakstām ne biežāk kā divas reizes nedēļā un tikai darba kārtībā.

Avots: www.habr.com