Мэдээллийн технологийн аюулгүй байдлын сайн мэргэжилтэн жирийн нэгээс юугаараа ялгаатай вэ? Үгүй ээ, тэр ямар ч үед менежер Игорь өчигдөр хамтран ажиллагч Мария руу илгээсэн мессежийн тоог санах ойноос нэрлэж чаддаггүй. Аюулгүй байдлын сайн мэргэжилтэн нь болзошгүй зөрчлийг урьдчилан илрүүлж, бодит цаг хугацаанд нь барьж, хэрэг явдлыг үргэлжлүүлэхгүй байхын тулд бүх хүчин чармайлтаа гаргадаг. Аюулгүй байдлын үйл явдлын удирдлагын систем (SIEM, Аюулгүй байдлын мэдээлэл ба үйл явдлын менежментээс) нь аливаа оролдлогын зөрчлийг хурдан бүртгэх, хаах ажлыг ихээхэн хялбаршуулдаг.
Уламжлал ёсоор SIEM системүүд нь мэдээллийн аюулгүй байдлын удирдлагын систем болон аюулгүй байдлын үйл явдлын удирдлагын системийг хослуулдаг. Системийн чухал шинж чанар бол аюулгүй байдлын үйл явдлуудад бодит цаг хугацаанд дүн шинжилгээ хийх явдал бөгөөд одоо байгаа гэмтэл гарахаас өмнө тэдэнд хариу өгөх боломжийг олгодог.
SIEM системийн үндсэн үүрэг:
- Мэдээлэл цуглуулах, хэвийн болгох
- Өгөгдлийн хамаарал
- Анхааруулга
- Дүрслэх самбарууд
- Мэдээлэл хадгалах зохион байгуулалт
- Өгөгдлийн хайлт ба дүн шинжилгээ
- Тайлагнах
SIEM системийн эрэлт их байгаагийн шалтгаан
Сүүлийн үед мэдээллийн системд халдлагын нарийн төвөгтэй байдал, зохицуулалт ихээхэн нэмэгдсэн. Үүний зэрэгцээ ашигладаг мэдээллийн аюулгүй байдлын хэрэгслүүд нь сүлжээ болон хост дээр суурилсан халдлагыг илрүүлэх систем, DLP систем, вирусын эсрэг систем ба галт хана, эмзэг байдлын сканнер гэх мэт илүү төвөгтэй болж байна. Аюулгүй байдлын хэрэгсэл бүр янз бүрийн түвшний нарийвчлал бүхий үйл явдлын урсгалыг үүсгэдэг бөгөөд ихэнхдээ халдлагыг зөвхөн өөр өөр системүүдийн давхцсан үйл явдлуудаас харж болно.
Бүх төрлийн арилжааны SIEM системийн талаар маш их зүйл байдаг , гэхдээ бид хэрэглэгчдийн тоо эсвэл хүлээн зөвшөөрөгдсөн хадгалагдсан өгөгдлийн хэмжээг зохиомлоор хязгаарладаггүй, мөн хялбархан өргөжүүлж, дэмждэг үнэгүй, бүрэн хэмжээний нээлттэй эхийн SIEM системүүдийн товч тоймыг санал болгож байна. Энэ нь ийм системийн боломжуудыг үнэлж, ийм шийдлүүдийг компанийн бизнесийн үйл явцад нэгтгэх нь зүйтэй эсэхийг шийдэхэд тусална гэж найдаж байна.
AlienVault OSSIM
AlienVault OSSIM нь арилжааны тэргүүлэх SIEM системүүдийн нэг болох AlienVault USM-ийн нээлттэй эхийн хувилбар юм. OSSIM нь Snort сүлжээний халдлагыг илрүүлэх систем, Nagios сүлжээ болон хостын хяналтын систем, OSSEC хост дээр суурилсан халдлагыг илрүүлэх систем, OpenVAS эмзэг байдлын сканнер зэрэг хэд хэдэн нээлттэй эхийн төслүүдээс бүрдсэн хүрээ юм.
Төхөөрөмжүүдийг хянахын тулд AlienVault Agent-ийг ашигладаг бөгөөд энэ нь хостоос syslog форматаар GELF платформ руу илгээдэг, эсвэл Cloudflare вэбсайтын урвуу прокси үйлчилгээ эсвэл Okta multi гэх мэт гуравдагч талын үйлчилгээтэй нэгтгэхэд залгаасыг ашиглаж болно. - хүчин зүйлийн баталгаажуулалтын систем.
USM хувилбар нь бүртгэлийн менежмент, үүлэн дэд бүтцийн хяналт, автоматжуулалт, шинэчлэгдсэн аюулын мэдээлэл, дүрслэл зэрэг сайжруулсан функцээрээ OSSIM-ээс ялгаатай.
Ашиг тус
- Батлагдсан нээлттэй эхийн төслүүд дээр баригдсан;
- Хэрэглэгчид болон хөгжүүлэгчдийн томоохон нийгэмлэг.
дутагдлууд
- Үүл платформыг хянахыг дэмждэггүй (жишээлбэл, AWS эсвэл Azure);
- Бүртгэлийн менежмент, дүрслэл, автоматжуулалт эсвэл гуравдагч талын үйлчилгээтэй нэгтгэх боломжгүй.
MozDef (Mozilla хамгаалалтын платформ)
Mozilla-ийн боловсруулсан MozDef SIEM системийг аюулгүй байдлын ослын процессыг автоматжуулахад ашигладаг. Систем нь хамгийн дээд гүйцэтгэл, өргөтгөх чадвар, алдааг тэсвэрлэх чадвартай байхын тулд эхнээс нь бүтээгдсэн бөгөөд микро үйлчилгээний архитектуртай - үйлчилгээ бүр Docker контейнерт ажилладаг.
OSSIM-ийн нэгэн адил MozDef нь Elasticsearch бүртгэлийн индексжүүлэлт, хайлтын модуль, уян хатан вэб интерфэйсийг бий болгох Meteor платформ, дүрслэх, зурахад зориулсан Kibana залгаас зэрэг цаг хугацаагаар туршсан нээлттэй эхийн төслүүд дээр бүтээгдсэн.
Үйл явдлын хамаарал болон сэрэмжлүүлэг нь Elasticsearch асуулга ашиглан хийгддэг бөгөөд энэ нь танд Python ашиглан өөрийн үйл явдлын боловсруулалт болон дохиоллын дүрмийг бичих боломжийг олгодог. Mozilla-ийн мэдээлснээр MozDef өдөрт 300 сая гаруй үйл явдлыг боловсруулах боломжтой. MozDef нь зөвхөн JSON форматтай үйл явдлуудыг хүлээн авдаг боловч гуравдагч талын үйлчилгээтэй нэгдмэл байдаг.
Ашиг тус
- Агент ашигладаггүй - стандарт JSON бүртгэлтэй ажилладаг;
- Бичил үйлчилгээний архитектурын ачаар хялбархан масштаблах;
- AWS CloudTrail болон GuardDuty зэрэг үүлэн үйлчилгээний мэдээллийн эх сурвалжийг дэмждэг.
дутагдлууд
- Шинэ, бага тогтсон систем.
Вазух
Wazuh нь хамгийн алдартай нээлттэй эхийн SIEM-ийн нэг болох OSSEC-ийн салаа болгон хөгжүүлж эхэлсэн. Одоо энэ нь шинэ функц, алдаа засах, оновчтой архитектур бүхий өөрийн өвөрмөц шийдэл юм.
Энэхүү систем нь ElasticStack стек (Elasticsearch, Logstash, Kibana) дээр суурилагдсан бөгөөд агент дээр суурилсан өгөгдөл цуглуулах болон системийн бүртгэлийг ашиглахыг дэмждэг. Энэ нь лог үүсгэдэг боловч агент суулгацыг дэмждэггүй хяналтын төхөөрөмжүүдэд үр дүнтэй болгодог - сүлжээний төхөөрөмжүүд, принтерүүд болон нэмэлт төхөөрөмжүүд.
Wazuh нь одоо байгаа OSSEC агентуудыг дэмжиж, тэр ч байтугай OSSEC-ээс Wazuh руу шилжих талаар зааварчилгаа өгдөг. Хэдийгээр OSSEC идэвхтэй дэмжигдсээр байгаа ч Wazuh нь шинэ вэб интерфэйс, REST API, илүү бүрэн дүрмүүд болон бусад олон сайжруулалтууд нэмэгдсэний улмаас OSSEC-ийн үргэлжлэл гэж үздэг.
Ашиг тус
- Алдартай SIEM OSSEC дээр суурилсан, нийцтэй;
- Суурилуулалтын янз бүрийн хувилбаруудыг дэмждэг: Docker, Puppet, Chef, Ansible;
- AWS болон Azure зэрэг үүлэн үйлчилгээний хяналтыг дэмждэг;
- Олон төрлийн халдлагыг илрүүлэх цогц дүрмүүдийг багтаасан бөгөөд тэдгээрийг PCI DSS v3.1 болон CIS-ийн дагуу харьцуулах боломжийг танд олгоно.
- Үйл явдлыг дүрслэн харуулах, API дэмжлэг үзүүлэхийн тулд Splunk бүртгэлийн хадгалалт, шинжилгээний системтэй нэгдсэн.
дутагдлууд
- Нарийн төвөгтэй архитектур - Wazuh backend бүрэлдэхүүн хэсгүүдээс гадна бүрэн Elastic Stack байршуулалтыг шаарддаг.
Оршил үйлдлийн систем
Prelude OSS нь Францын CS компанийн бүтээсэн арилжааны Prelude SIEM-ийн нээлттэй эхийн хувилбар юм. Энэхүү шийдэл нь олон бүртгэлийн форматыг дэмждэг уян хатан, модульчлагдсан SIEM систем бөгөөд OSSEC, Snort болон Suricata сүлжээ илрүүлэх систем зэрэг гуравдагч талын хэрэгслүүдтэй нэгтгэдэг.
Үйл явдал бүрийг IDMEF форматыг ашиглан мессеж болгон хэвийн болгодог бөгөөд энэ нь бусад системтэй өгөгдөл солилцоход хялбар болгодог. Гэхдээ тосонд ялаа байдаг - Prelude OSS нь Prelude SIEM-ийн арилжааны хувилбартай харьцуулахад гүйцэтгэл, үйл ажиллагааны хувьд маш хязгаарлагдмал бөгөөд жижиг төслүүд эсвэл SIEM шийдлүүдийг судлах, Prelude SIEM-ийг үнэлэхэд илүү зориулагдсан.
Ашиг тус
- 1998 оноос хойш боловсруулсан цаг хугацаагаар шалгасан систем;
- Олон төрлийн бүртгэлийн форматыг дэмждэг;
- Өгөгдлийг IMDEF формат руу хэвийн болгож, бусад хамгаалалтын системд өгөгдөл дамжуулахад хялбар болгодог.
дутагдлууд
- Бусад нээлттэй эхийн SIEM системүүдтэй харьцуулахад үйл ажиллагаа, гүйцэтгэлийн хувьд мэдэгдэхүйц хязгаарлагдмал.
Саган
Саган бол Snort-тай нийцтэй байхыг онцолсон өндөр гүйцэтгэлтэй SIEM юм. Snort-д зориулж бичсэн дүрмүүдийг дэмжихээс гадна Саган нь Snort мэдээллийн санд бичиж, Шуил интерфейстэй хамт ашиглах боломжтой. Үндсэндээ энэ нь Snort хэрэглэгчдэд ээлтэй байхын зэрэгцээ шинэ боломжуудыг санал болгодог хөнгөн, олон урсгалтай шийдэл юм.
Ашиг тус
- Snort мэдээллийн сан, дүрэм, хэрэглэгчийн интерфэйстэй бүрэн нийцдэг;
- Олон урсгалтай архитектур нь өндөр гүйцэтгэлийг хангадаг.
дутагдлууд
- Жижиг хамт олонтой харьцангуй залуу төсөл;
- Эх сурвалжаас SIEM-ийг бүхэлд нь бүтээхтэй холбоотой цогц суулгах процесс.
дүгнэлт
Тайлбарласан SIEM систем бүр өөрийн гэсэн шинж чанар, хязгаарлалттай байдаг тул тэдгээрийг аливаа байгууллагын бүх нийтийн шийдэл гэж нэрлэж болохгүй. Гэсэн хэдий ч эдгээр шийдлүүд нь нээлттэй эх сурвалж бөгөөд тэдгээрийг ашиглах, турших, хэт их зардал гаргахгүйгээр үнэлэх боломжийг олгодог.
Блог дээрээс өөр ямар сонирхолтой зүйл уншиж болох вэ?
→
→
→
→
→
Манай захиалах Дараагийн нийтлэлийг алдахгүйн тулд суваг! Бид долоо хоногт хоёроос илүүгүй удаа, зөвхөн ажил хэргийн талаар бичдэг.
Эх сурвалж: www.habr.com