Bagaimanakah pakar keselamatan IT yang baik berbeza daripada pakar biasa? Tidak, bukan kerana pada bila-bila masa dia boleh menamakan dari ingatan bilangan mesej yang dihantar pengurus Igor semalam kepada rakan sekerjanya Maria. Pakar keselamatan yang baik cuba mengenal pasti kemungkinan pelanggaran lebih awal dan menangkapnya dalam masa nyata, melakukan segala usaha untuk memastikan insiden itu tidak berterusan. Sistem pengurusan acara keselamatan (SIEM, daripada maklumat Keselamatan dan pengurusan acara) sangat memudahkan tugas merekod dan menyekat sebarang percubaan pelanggaran.
Secara tradisinya, sistem SIEM menggabungkan sistem pengurusan keselamatan maklumat dan sistem pengurusan acara keselamatan. Ciri penting sistem ialah analisis peristiwa keselamatan dalam masa nyata, yang membolehkan anda bertindak balas kepada mereka sebelum kerosakan sedia ada berlaku.
Tugas utama sistem SIEM:
- Pengumpulan data dan normalisasi
- Korelasi Data
- Amaran
- Panel visualisasi
- Organisasi penyimpanan data
- Carian dan Analisis Data
- Pelaporan
Sebab permintaan tinggi untuk sistem SIEM
Baru-baru ini, kerumitan dan penyelarasan serangan terhadap sistem maklumat telah meningkat dengan ketara. Pada masa yang sama, kompleks alat keselamatan maklumat yang digunakan juga menjadi lebih kompleksβsistem pengesanan pencerobohan berasaskan rangkaian dan hos, sistem DLP, sistem anti-virus dan tembok api, pengimbas kerentanan, dsb. Setiap alat keselamatan menjana aliran peristiwa dengan tahap perincian yang berbeza-beza, dan selalunya serangan hanya boleh dilihat dengan peristiwa bertindih daripada sistem yang berbeza.
Terdapat banyak tentang semua jenis sistem SIEM komersial , tetapi kami menawarkan gambaran ringkas tentang sistem SIEM sumber terbuka percuma yang lengkap yang tidak mempunyai sekatan buatan pada bilangan pengguna atau volum data disimpan yang diterima, dan juga mudah berskala dan disokong. Kami berharap ini akan membantu menilai potensi sistem sedemikian dan memutuskan sama ada penyelesaian sedemikian berbaloi untuk disepadukan ke dalam proses perniagaan syarikat.
AlienVault OSSIM
AlienVault OSSIM ialah versi sumber terbuka AlienVault USM, salah satu sistem SIEM komersial terkemuka. OSSIM ialah rangka kerja yang terdiri daripada beberapa projek sumber terbuka, termasuk sistem pengesanan pencerobohan rangkaian Snort, rangkaian Nagios dan sistem pemantauan hos, sistem pengesanan pencerobohan berasaskan hos OSSEC dan pengimbas kerentanan OpenVAS.
Untuk memantau peranti, Agen AlienVault digunakan, yang menghantar log daripada hos dalam format syslog ke platform GELF, atau pemalam boleh digunakan untuk penyepaduan dengan perkhidmatan pihak ketiga, seperti perkhidmatan proksi terbalik laman web Cloudflare atau Okta multi -sistem pengesahan faktor.
Versi USM berbeza daripada OSSIM dengan fungsi yang dipertingkatkan untuk pengurusan log, pemantauan infrastruktur awan, automasi dan maklumat dan visualisasi ancaman yang dikemas kini.
Kelebihan
- Dibina pada projek sumber terbuka yang terbukti;
- Komuniti besar pengguna dan pembangun.
Kecacatan
- Tidak menyokong pemantauan platform awan (contohnya, AWS atau Azure);
- Tiada pengurusan log, visualisasi, automasi atau penyepaduan dengan perkhidmatan pihak ketiga.
MozDef (Platform Pertahanan Mozilla)
Sistem SIEM MozDef yang dibangunkan oleh Mozilla digunakan untuk mengautomasikan proses pemprosesan insiden keselamatan. Sistem ini direka bentuk dari bawah ke atas untuk mencapai prestasi maksimum, skalabiliti dan toleransi kesalahan, dengan seni bina perkhidmatan mikro - setiap perkhidmatan berjalan dalam bekas Docker.
Seperti OSSIM, MozDef dibina pada projek sumber terbuka yang diuji masa, termasuk pengindeksan log Elasticsearch dan modul carian, platform Meteor untuk membina antara muka web yang fleksibel dan pemalam Kibana untuk visualisasi dan plot.
Korelasi dan amaran acara dilakukan menggunakan pertanyaan Elasticsearch, yang membolehkan anda menulis peraturan pemprosesan dan amaran acara anda sendiri menggunakan Python. Menurut Mozilla, MozDef boleh memproses lebih daripada 300 juta acara setiap hari. MozDef hanya menerima acara dalam format JSON, tetapi terdapat penyepaduan dengan perkhidmatan pihak ketiga.
Kelebihan
- Tidak menggunakan ejen - berfungsi dengan log JSON standard;
- Skala dengan mudah terima kasih kepada seni bina perkhidmatan mikro;
- Menyokong sumber data perkhidmatan awan termasuk AWS CloudTrail dan GuardDuty.
Kecacatan
- Sistem baru dan kurang mantap.
Wazuh
Wazuh memulakan pembangunan sebagai cabang OSSEC, salah satu SIEM sumber terbuka yang paling popular. Dan kini ia adalah penyelesaian uniknya sendiri dengan fungsi baharu, pembetulan pepijat dan seni bina yang dioptimumkan.
Sistem ini dibina pada timbunan ElasticStack (Elasticsearch, Logstash, Kibana) dan menyokong pengumpulan data berasaskan ejen dan pengingesan log sistem. Ini menjadikannya berkesan untuk memantau peranti yang menjana log tetapi tidak menyokong pemasangan ejen - peranti rangkaian, pencetak dan persisian.
Wazuh menyokong ejen-ejen OSSEC sedia ada dan juga menyediakan panduan untuk berhijrah dari OSSEC ke Wazuh. Walaupun OSSEC masih disokong secara aktif, Wazuh dilihat sebagai kesinambungan OSSEC kerana penambahan antara muka web baharu, REST API, set peraturan yang lebih lengkap dan banyak penambahbaikan lain.
Kelebihan
- Berdasarkan dan serasi dengan SIEM OSSEC yang popular;
- Menyokong pelbagai pilihan pemasangan: Docker, Puppet, Chef, Ansible;
- Menyokong pemantauan perkhidmatan awan, termasuk AWS dan Azure;
- Termasuk set peraturan yang komprehensif untuk mengesan pelbagai jenis serangan dan membolehkan anda membandingkannya mengikut PCI DSS v3.1 dan CIS.
- Bersepadu dengan sistem storan dan analisis log Splunk untuk visualisasi acara dan sokongan API.
Kecacatan
- Seni bina kompleks - memerlukan penggunaan Timbunan Elastik penuh sebagai tambahan kepada komponen hujung belakang Wazuh.
OS pendahuluan
Prelude OSS ialah versi sumber terbuka Prelude SIEM komersial, dibangunkan oleh syarikat Perancis CS. Penyelesaiannya ialah sistem SIEM modular yang fleksibel yang menyokong berbilang format log, penyepaduan dengan alatan pihak ketiga seperti OSSEC, Snort dan sistem pengesanan rangkaian Suricata.
Setiap peristiwa dinormalisasi menjadi mesej menggunakan format IDMEF, yang memudahkan pertukaran data dengan sistem lain. Tetapi terdapat lalat dalam salap - Prelude OSS sangat terhad dalam prestasi dan kefungsian berbanding versi komersial Prelude SIEM, dan lebih ditujukan untuk projek kecil atau untuk mengkaji penyelesaian SIEM dan menilai Prelude SIEM.
Kelebihan
- Sistem yang diuji masa, dibangunkan sejak 1998;
- Menyokong banyak format log yang berbeza;
- Menormalkan data kepada format IMDEF, menjadikannya mudah untuk memindahkan data ke sistem keselamatan lain.
Kecacatan
- Terhad dengan ketara dalam fungsi dan prestasi berbanding sistem SIEM sumber terbuka yang lain.
sagan
Sagan ialah SIEM berprestasi tinggi yang menekankan keserasian dengan Snort. Sebagai tambahan kepada peraturan sokongan yang ditulis untuk Snort, Sagan boleh menulis ke pangkalan data Snort dan juga boleh digunakan dengan antara muka Shuil. Pada asasnya, ia adalah penyelesaian berbilang benang ringan yang menawarkan ciri baharu sambil kekal mesra kepada pengguna Snort.
Kelebihan
- Serasi sepenuhnya dengan pangkalan data Snort, peraturan dan antara muka pengguna;
- Seni bina berbilang benang memberikan prestasi tinggi.
Kecacatan
- Projek yang agak muda dengan komuniti kecil;
- Proses pemasangan kompleks yang melibatkan membina keseluruhan SIEM daripada sumber.
Kesimpulan
Setiap sistem SIEM yang diterangkan mempunyai ciri dan batasannya sendiri, jadi mereka tidak boleh dipanggil penyelesaian universal untuk mana-mana organisasi. Walau bagaimanapun, penyelesaian ini adalah sumber terbuka, membolehkan mereka digunakan, diuji dan dinilai tanpa menanggung kos yang berlebihan.
Apa lagi yang menarik yang anda boleh baca di blog?
β
β
β
β
β
Langgan kami -saluran supaya anda tidak terlepas artikel seterusnya! Kami menulis tidak lebih daripada dua kali seminggu dan hanya mengenai perniagaan.
Sumber: www.habr.com