Inona no maha samy hafa ny manam-pahaizana manokana momba ny fiarovana IT tsara amin'ny olon-tsotra? Tsia, tsy amin'ny hoe amin'ny fotoana rehetra dia afaka manonona ny isan'ny hafatra nalefan'ny mpitantana Igor omaly ho an'i Maria mpiara-miasa aminy izy. Ny manam-pahaizana manokana momba ny fiarovana dia miezaka mamantatra mialoha ny mety ho fandikan-dalΓ na ary misambotra azy ireo amin'ny fotoana tena izy, manao ny ezaka rehetra mba hahazoana antoka fa tsy hitohy ny tranga. Ny rafi-pitantanana hetsika fiarovana (SIEM, avy amin'ny fampahafantarana momba ny fiarovana sy ny fitantanana ny hetsika) dia manamora ny asa fandraketana haingana sy fanakanana izay mety ho fandikan-dalΓ na rehetra.
Amin'ny fomba nentim-paharazana, ny rafitra SIEM dia manambatra rafitra fitantanana fiarovana ny fampahalalam-baovao sy rafitra fitantanana hetsika fiarovana. Ny singa manan-danja amin'ny rafitra dia ny famakafakana ny hetsika fiarovana amin'ny fotoana tena izy, izay ahafahanao mamaly azy ireo alohan'ny hitrangan'ny fahasimbana efa misy.
Ny asa lehibe amin'ny rafitra SIEM:
- Fanangonana angona sy normalization
- Fifandraisana data
- Fanairana
- Paneau visualization
- Fandaminana ny fitahirizana angon-drakitra
- Fikarohana angona sy fanadihadiana
- tatitra
Antony mahatonga ny fitakiana be ny rafitra SIEM
Vao haingana, nitombo be ny fahasarotana sy ny fandrindrana ny fanafihana amin'ny rafi-baovao. Amin'izay fotoana izay ihany koa, mihasarotra ihany koa ny fitaovan'ny fitaovan'ny fiarovana amin'ny fampahalalam-baovao ampiasainaβny tambajotra sy ny rafitra fanaraha-maso ny fidiran'ny mpampiantrano, ny rafitra DLP, ny rafitra anti-virus sy ny firewall, ny scanner vulnerable, sns. Ny fitaovam-piarovana tsirairay dia miteraka hetsika misy ambaratonga samihafa amin'ny antsipiriany, ary matetika ny fanafihana dia tsy hita afa-tsy amin'ny hetsika mifanipaka avy amin'ny rafitra samihafa.
Betsaka ny karazana rafitra SIEM ara-barotra rehetra , fa manolotra topimaso fohy momba ny rafitra SIEM open source maimaimpoana maimaim-poana izahay izay tsy manana famerana artifisialy amin'ny isan'ny mpampiasa na ny habetsaky ny angona voatahiry ekena, ary mora azo ampitomboina sy tohanana ihany koa. Manantena izahay fa hanampy amin'ny fanombanana ny mety ho an'ny rafitra toy izany izany ary hanapa-kevitra raha mendrika ny hampidirina ao amin'ny fizotran'ny orinasa ny vahaolana toy izany.
AlienVault OSSIM
AlienVault OSSIM dia kinova open source an'ny AlienVault USM, iray amin'ireo rafitra SIEM ara-barotra lehibe indrindra. OSSIM dia rafitra misy tetikasa open source maro, anisan'izany ny Snort network intrusion system detection, the Nagios network and host monitoring system, the OSSEC host-based intrusion detection system, ary ny OpenVAS vulnerability scanner.
Mba hanaraha-maso ny fitaovana dia ampiasaina ny AlienVault Agent, izay mandefa logs avy amin'ny mpampiantrano amin'ny endrika syslog mankany amin'ny sehatra GELF, na plugin iray azo ampiasaina amin'ny fampidirana amin'ny serivisy an'ny antoko fahatelo, toy ny tranokala Cloudflare reverse proxy service na ny Okta multi -Factor authentication system.
Ny dikan-USM dia tsy mitovy amin'ny OSSIM miaraka amin'ny fampiasa nohatsaraina ho an'ny fitantanana log, fanaraha-maso ny fotodrafitrasa rahona, automatique, ary fampahalalana vaovao momba ny fandrahonana sy sary.
tombony
- Naorina tamin'ny tetikasa open-source voaporofo;
- Vondrom-piarahamonina lehibe mpampiasa sy mpamorona.
fahadisoana
- Tsy manohana ny fanaraha-maso ny sehatra rahona (ohatra, AWS na Azure);
- Tsy misy fitantanana log, sary, automatique na fampidirana amin'ny serivisy antoko fahatelo.
MozDef (Mozilla Defense Platform)
Ny rafitra MozDef SIEM novolavolain'i Mozilla dia ampiasaina amin'ny fanaovana automatique ny fizotry ny fanodinana trangan-javatra fiarovana. Ny rafitra dia natao hatrany am-boalohany mba hahazoana fahombiazana ambony indrindra, scalability ary fandeferana amin'ny fahadisoana, miaraka amin'ny maritrano microservice - ny serivisy tsirairay dia mandeha ao anaty container Docker.
Tahaka ny OSSIM, MozDef dia naorina tamin'ny tetikasa open source efa voasedra, ao anatin'izany ny Elasticsearch log indexing and search module, ny sehatra Meteor ho an'ny fananganana tranonkala flexible, ary ny plugin Kibana ho an'ny sary sy ny teti-dratsy.
Ny fifandraisan'ny hetsika sy ny fampandrenesana dia atao amin'ny alΓ lan'ny fangatahana Elasticsearch, izay ahafahanao manoratra ny fitsipi-pifehezanao manokana sy ny fampitandremana mampiasa Python. Araka ny filazan'i Mozilla, MozDef dia afaka manao hetsika mihoatra ny 300 tapitrisa isan'andro. MozDef dia tsy manaiky afa-tsy hetsika amin'ny endrika JSON, saingy misy ny fampidirana amin'ny serivisy antoko fahatelo.
tombony
- Tsy mampiasa mpiasa - miasa miaraka amin'ny logs JSON mahazatra;
- Mora mizana noho ny maritrano microservice;
- Manohana loharanom-baovao momba ny serivisy rahona ao anatin'izany ny AWS CloudTrail sy GuardDuty.
fahadisoana
- Rafitra vaovao sy tsy dia miorina loatra.
Wazuh
Wazuh dia nanomboka ny fampandrosoana ho toy ny fiforonan'ny OSSEC, iray amin'ireo SIEM open source malaza indrindra. Ary izao no vahaolana tokana misy azy miaraka amin'ny fiasa vaovao, fanamboarana bug ary maritrano namboarina.
Ny rafitra dia miorina amin'ny stack ElasticStack (Elasticsearch, Logstash, Kibana) ary manohana ny fanangonana angon-drakitra mifototra amin'ny mpiasa sy ny fampidirana ny log system. Izany dia mahatonga azy io ho mahomby amin'ny fanaraha-maso ireo fitaovana izay miteraka logs nefa tsy manohana ny fametrahana mpiasa - fitaovana tambajotra, mpanonta ary periferika.
Wazuh dia manohana ireo mpiasan'ny OSSEC efa misy ary manome torolΓ lana momba ny fifindra-monina avy any OSSEC mankany Wazuh. Na dia mbola tohanana am-pahavitrihana aza ny OSSEC, dia hita ho fitohizan'ny OSSEC i Wazuh noho ny fanampim-baovaon'ny tranonkala vaovao, REST API, fitsipika feno kokoa, ary fanatsarana maro hafa.
tombony
- Miorina sy mifanaraka amin'ny SIEM OSSEC malaza;
- Manohana safidy fametrahana isan-karazany: Docker, Puppet, Chef, Ansible;
- Manohana ny fanaraha-maso ny serivisy rahona, ao anatin'izany ny AWS sy Azure;
- Ahitana fitsipika feno hamantarana karazana fanafihana maro ary ahafahanao mampitaha azy ireo mifanaraka amin'ny PCI DSS v3.1 sy CIS.
- Mitambatra amin'ny rafitra fitahirizana sy famakafakana log Splunk ho an'ny fijerena ny hetsika sy ny fanohanan'ny API.
fahadisoana
- Ny maritrano sarotra - mitaky fametrahana Elastic Stack feno ho fanampin'ny singa backend Wazuh.
Prelude OS
Prelude OSS dia dikan-teny misokatra ho an'ny Prelude SIEM ara-barotra, novolavolain'ny orinasa frantsay CS. Ny vahaolana dia rafitra SIEM mora vidy, modular izay manohana ny endrika logs marobe, fampidirana miaraka amin'ny fitaovana an'ny antoko fahatelo toy ny OSSEC, Snort ary ny rafitra fanaraha-maso ny tambajotra Suricata.
Ny hetsika tsirairay dia avadika ho hafatra amin'ny alΓ lan'ny endrika IDMEF, izay manamora ny fifanakalozana angona amin'ny rafitra hafa. Saingy misy lalitra ao amin'ny menaka - Prelude OSS dia tena voafetra amin'ny fampisehoana sy ny asany raha oharina amin'ny dikan-teny ara-barotra Prelude SIEM, ary natao bebe kokoa ho an'ny tetikasa madinika na ho an'ny fandalinana ny vahaolana SIEM sy ny fanombanana ny Prelude SIEM.
tombony
- Rafitra voasedra fotoana, novolavolaina nanomboka tamin'ny 1998;
- Manohana endrika lozisialy maro samihafa;
- Manara-dalΓ na ny angona amin'ny endrika IMDEF, manamora ny famindrana angona amin'ny rafitra fiarovana hafa.
fahadisoana
- Voafetra be ny fiasa sy ny fampandehanana raha oharina amin'ireo rafitra SIEM open source hafa.
sagan
Sagan dia SIEM mahomby izay manantitrantitra ny fifanarahana amin'ny Snort. Ankoatra ny fitsipika fanohanana nosoratana ho an'ny Snort, Sagan dia afaka manoratra amin'ny angon-drakitra Snort ary azo ampiasaina amin'ny interface Shuil mihitsy aza. Amin'ny ankapobeny dia vahaolana maivana maromaro misy kofehy izy io izay manolotra endri-javatra vaovao nefa mijanona ho namana amin'ny mpampiasa Snort.
tombony
- Mifanaraka tanteraka amin'ny angon-drakitra Snort, fitsipika ary interface tsara;
- Ny maritrano misy kofehy maromaro dia manome fampisehoana avo lenta.
fahadisoana
- Tetikasa somary tanora miaraka amin'ny vondrom-piarahamonina kely;
- Fizotry ny fametrahana saro-takarina izay misy ny fananganana ny SIEM manontolo avy amin'ny loharano.
famaranana
Samy manana ny toetrany sy ny fetrany ny rafitra SIEM tsirairay, ka tsy azo antsoina hoe vahaolana manerantany ho an'ny fikambanana rehetra. Na izany aza, ireo vahaolana ireo dia loharano misokatra, mamela azy ireo hapetraka, hotsapaina ary hanombantombana tsy misy fandaniana be loatra.
Inona koa no mahaliana azonao vakiana ao amin'ny bilaogy?
β
β
β
β
β
Misoratra anarana amin'ny anay -fantsona mba tsy ho diso ny lahatsoratra manaraka! Manoratra tsy mihoatra ny indroa isan-kerinandro izahay ary amin'ny raharaham-barotra ihany.
Source: www.habr.com