Како добар специјалист за ИТ безбедност се разликува од обичниот? Не, не со тоа што во секој момент може од меморија да го именува бројот на пораки што менаџерот Игор и ги испрати вчера на својата колешка Марија. Добриот специјалист за безбедност се обидува однапред да ги идентификува можните прекршувања и да ги фати во реално време, вложувајќи максимални напори инцидентот да не продолжи. Системите за управување со безбедносни настани (SIEM, од безбедносни информации и управување со настани) во голема мера ја поедноставуваат задачата за брзо снимање и блокирање на какви било обиди за прекршување.
Традиционално, SIEM системите комбинираат систем за управување со безбедноста на информациите и систем за управување со безбедносни настани. Важна карактеристика на системите е анализата на безбедносните настани во реално време, што ви овозможува да одговорите на нив пред да дојде до постоечка штета.
Главните задачи на SIEM системите:
- Собирање и нормализација на податоци
- Корелација на податоци
- Предупредување
- Панели за визуелизација
- Организација на складирање на податоци
- Пребарување и анализа на податоци
- Известување
Причини за големата побарувачка за SIEM системите
Неодамна, комплексноста и координацијата на нападите врз информациските системи значително се зголемија. Во исто време, комплексот на алатки за безбедност на информациите што се користат, исто така, станува покомплексен - системи за откривање на упад базирани на мрежа и домаќин, DLP системи, антивирусни системи и заштитен ѕидови, скенери за ранливост итн. Секоја безбедносна алатка генерира прилив на настани со различни нивоа на детали и често нападот може да се види само со преклопување на настани од различни системи.
Има многу за сите видови комерцијални SIEM системи , но нудиме краток преглед на бесплатни, полноправни системи со отворен код SIEM кои немаат вештачки ограничувања за бројот на корисници или обемот на прифатените складирани податоци, а исто така се лесно скалабилни и поддржани. Се надеваме дека ова ќе помогне да се процени потенцијалот на таквите системи и да се одлучи дали таквите решенија вреди да се интегрираат во деловните процеси на компанијата.
AlienVault OSSIM
AlienVault OSSIM е верзија со отворен код на AlienVault USM, еден од водечките комерцијални SIEM системи. OSSIM е рамка која се состои од неколку проекти со отворен код, вклучувајќи го системот за откривање на упад во мрежата Snort, системот за следење на мрежата и домаќинот Nagios, системот за откривање на упад базиран на домаќин OSSEC и скенерот за ранливост OpenVAS.
За следење на уредите, се користи AlienVault Agent, кој испраќа дневници од домаќинот во формат syslog до платформата GELF, или може да се користи приклучок за интеграција со услуги од трети страни, како што е услугата за обратен прокси веб-страница Cloudflare или Okta multi -систем за автентикација на фактори.
Верзијата USM се разликува од OSSIM со подобрена функционалност за управување со дневници, следење на облак инфраструктурата, автоматизација и ажурирани информации и визуелизација за заканите.
Предности
- Изграден на докажани проекти со отворен код;
- Голема заедница на корисници и програмери.
Ограничувања
- Не поддржува следење на облак платформи (на пример, AWS или Azure);
- Нема управување со дневници, визуелизација, автоматизација или интеграција со услуги од трети страни.
MozDef (Мозила за одбрана платформа)
Системот MozDef SIEM развиен од Mozilla се користи за автоматизирање на процесите за обработка на безбедносни инциденти. Системот е дизајниран од темел за да постигне максимални перформанси, приспособливост и толеранција на грешки, со микросервисна архитектура - секоја услуга работи во контејнер Docker.
Како OSSIM, MozDef е изграден на проекти со отворен код тестирани со време, вклучувајќи го модулот за индексирање и пребарување на дневници Elasticsearch, платформата Meteor за градење флексибилен веб-интерфејс и приклучокот Kibana за визуелизација и зацртување.
Корелацијата на настаните и предупредувањето се изведуваат со помош на прашања на Elasticsearch, што ви овозможува да напишете сопствени правила за обработка на настани и предупредување користејќи Python. Според Mozilla, MozDef може да обработи повеќе од 300 милиони настани дневно. MozDef прифаќа настани само во JSON формат, но има интеграција со услуги од трети страни.
Предности
- Не користи агенти - работи со стандардни дневници на JSON;
- Лесно се размери благодарение на микросервисната архитектура;
- Поддржува извори на податоци за облак услуги, вклучувајќи AWS CloudTrail и GuardDuty.
Ограничувања
- Нов и помалку воспоставен систем.
Wazuh
Wazuh започна да се развива како вилушка на OSSEC, еден од најпопуларните SIEM со отворен код. И сега тоа е свое уникатно решение со нова функционалност, поправени грешки и оптимизирана архитектура.
Системот е изграден на стекот ElasticStack (Elasticsearch, Logstash, Kibana) и поддржува и собирање податоци базирани на агенти и внесување на системски дневници. Ова го прави ефикасен за следење уреди кои генерираат дневници, но не поддржуваат инсталација на агенти - мрежни уреди, печатачи и периферни уреди.
Wazuh ги поддржува постоечките агенти на OSSEC, па дури и дава насоки за мигрирање од OSSEC во Wazuh. Иако OSSEC сè уште е активно поддржан, Wazuh се смета за продолжение на OSSEC поради додавањето на нов веб-интерфејс, REST API, поцелосен сет на правила и многу други подобрувања.
Предности
- Врз основа и компатибилен со популарниот SIEM OSSEC;
- Поддржува различни опции за инсталација: Docker, Puppet, Chef, Ansible;
- Поддржува следење на облак услуги, вклучувајќи AWS и Azure;
- Вклучува сеопфатен сет на правила за откривање на повеќе видови напади и ви овозможува да ги споредите во согласност со PCI DSS v3.1 и CIS.
- Се интегрира со системот за складирање и анализа на дневници Splunk за визуелизација на настани и поддршка за API.
Ограничувања
- Комплексна архитектура - бара целосно распоредување на Elastic Stack како додаток на Wazuh задни компоненти.
Прелудиум ОС
Prelude OSS е верзија со отворен код на комерцијалниот Prelude SIEM, развиена од француската компанија CS. Решението е флексибилен, модуларен SIEM систем кој поддржува повеќе формати на дневници, интеграција со алатки од трети страни како што се OSSEC, Snort и системот за откривање мрежа Suricata.
Секој настан е нормализиран во порака користејќи го форматот IDMEF, што ја поедноставува размената на податоци со други системи. Но, постои мува - Prelude OSS е многу ограничен во перформансите и функционалноста во споредба со комерцијалната верзија на Prelude SIEM и е наменет повеќе за мали проекти или за проучување на SIEM решенија и оценување на Prelude SIEM.
Предности
- Време-тестиран систем, развиен од 1998 година;
- Поддржува многу различни формати на дневници;
- Ги нормализира податоците во формат IMDEF, што го олеснува преносот на податоците во други безбедносни системи.
Ограничувања
- Значително ограничено во функционалноста и перформансите во споредба со другите SIEM системи со отворен код.
Саган
Sagan е SIEM со високи перформанси што ја нагласува компатибилноста со Snort. Покрај правилата за поддршка напишани за Snort, Саган може да пишува во базата на податоци на Snort и дури може да се користи со интерфејсот Shuil. Во суштина, тоа е лесно решение со повеќе нишки што нуди нови функции додека останува пријателски настроен кон корисниците на Snort.
Предности
- Целосно компатибилен со базата на податоци, правилата и корисничкиот интерфејс на Snort;
- Архитектурата со повеќе нишки обезбедува високи перформанси.
Ограничувања
- Релативно млад проект со мала заедница;
- Комплексен процес на инсталација што вклучува изградба на целиот SIEM од изворот.
Заклучок
Секој од опишаните SIEM системи има свои карактеристики и ограничувања, така што тие не можат да се наречат универзално решение за која било организација. Сепак, овие решенија се со отворен код, што овозможува нивно распоредување, тестирање и оценување без да се направат прекумерни трошоци.
Што друго интересно можете да прочитате на блогот?
→
→
→
→
→
Претплатете се на нашата -канал за да не ја пропуштите следната статија! Ние пишуваме не повеќе од двапати неделно и само на деловен план.
Извор: www.habr.com