Speċjalista tajjeb tas-sigurtà tal-IT kif ivarja minn wieħed ordinarju? Le, mhux mill-fatt li f'xi ħin partikolari jista' jsemmi mill-memorja n-numru ta' messaġġi li l-manager Igor bagħat ilbieraħ lill-kollega tiegħu Maria. Speċjalista tajjeb tas-sigurtà jipprova jidentifika ksur possibbli minn qabel u jaqbadhom f'ħin reali, u jagħmel kull sforz biex jiżgura li l-inċident ma jkomplix. Is-sistemi ta 'ġestjoni ta' avvenimenti ta 'sigurtà (SIEM, minn Informazzjoni ta' Sigurtà u ġestjoni ta 'avvenimenti) jissimplifikaw ħafna l-kompitu li jirreġistraw u jimblukkaw malajr kwalunkwe attentat ta' ksur.
Tradizzjonalment, is-sistemi SIEM jikkombinaw sistema ta 'ġestjoni tas-sigurtà tal-informazzjoni u sistema ta' ġestjoni ta 'avvenimenti ta' sigurtà. Karatteristika importanti tas-sistemi hija l-analiżi ta 'avvenimenti ta' sigurtà f'ħin reali, li tippermettilek tirrispondi għalihom qabel ma sseħħ il-ħsara eżistenti.
Ħidmiet ewlenin tas-sistemi SIEM:
- Ġbir u normalizzazzjoni tad-dejta
- Korrelazzjoni tad-Data
- Twissija
- Pannelli tal-viżwalizzazzjoni
- Organizzazzjoni tal-ħażna tad-data
- Tiftix u Analiżi tad-Data
- Rappurtar
Raġunijiet għad-domanda għolja għas-sistemi SIEM
Riċentement, il-kumplessità u l-koordinazzjoni tal-attakki fuq is-sistemi tal-informazzjoni żdiedu ħafna. Fl-istess ħin, il-kumpless tal-għodod tas-sigurtà tal-informazzjoni użati qed isir ukoll aktar kumpless — sistemi ta 'detezzjoni tal-intrużjoni bbażati fuq in-netwerk u l-host, sistemi DLP, sistemi u firewalls kontra l-virus, skaners tal-vulnerabbiltà, eċċ. Kull għodda ta' sigurtà tiġġenera fluss ta' avvenimenti b'livelli differenti ta' dettall, u ħafna drabi attakk jista' jidher biss minn avvenimenti li jikkoinċidu minn sistemi differenti.
Hemm ħafna dwar kull tip ta 'sistemi SIEM kummerċjali , iżda aħna noffru ħarsa ġenerali qasira ta 'sistemi SIEM b'sors miftuħ sħiħ b'xejn li m'għandhomx restrizzjonijiet artifiċjali fuq in-numru ta' utenti jew il-volum ta 'dejta maħżuna aċċettata, u huma wkoll faċilment skalabbli u appoġġjati. Nittamaw li dan jgħin biex jivvaluta l-potenzjal ta 'sistemi bħal dawn u jiddeċiedi jekk tali soluzzjonijiet humiex ta' min jintegraw fil-proċessi tan-negozju tal-kumpanija.
AlienVault OSSIM
AlienVault OSSIM hija verżjoni open-source ta' AlienVault USM, waħda mis-sistemi SIEM kummerċjali ewlenin. OSSIM huwa qafas li jikkonsisti f'diversi proġetti ta 'sors miftuħ, inkluża s-sistema ta' skoperta ta 'intrużjoni tan-netwerk Snort, in-netwerk ta' Nagios u s-sistema ta 'monitoraġġ tal-host, is-sistema ta' skoperta ta 'intrużjoni bbażata fuq il-host OSSEC, u l-iskaner tal-vulnerabbiltà OpenVAS.
Biex timmonitorja l-apparati, jintuża l-Aġent AlienVault, li jibgħat zkuk mill-host fil-format syslog għall-pjattaforma GELF, jew plugin jista 'jintuża għall-integrazzjoni ma' servizzi ta 'partijiet terzi, bħas-servizz ta' prokura inversa tal-websajt Cloudflare jew il-multi Okta -sistema ta 'awtentikazzjoni tal-fattur.
Il-verżjoni USM hija differenti minn OSSIM b'funzjonalità mtejba għall-ġestjoni tal-log, monitoraġġ tal-infrastruttura tal-cloud, awtomazzjoni, u informazzjoni u viżwalizzazzjoni aġġornati dwar it-theddid.
Vantaġġi
- Mibnija fuq proġetti ta’ sors miftuħ ippruvati;
- Komunità kbira ta 'utenti u żviluppaturi.
Limitazzjonijiet
- Ma jappoġġjax il-monitoraġġ tal-pjattaformi tal-cloud (pereżempju, AWS jew Azure);
- M'hemm l-ebda ġestjoni ta 'log, viżwalizzazzjoni, awtomazzjoni jew integrazzjoni ma' servizzi ta 'partijiet terzi.
MozDef (Pjattaforma tad-Difiża Mozilla)
Is-sistema MozDef SIEM żviluppata minn Mozilla tintuża biex jiġu awtomatizzati l-proċessi tal-ipproċessar tal-inċidenti tas-sigurtà. Is-sistema hija ddisinjata mill-art biex tikseb prestazzjoni massima, skalabbiltà u tolleranza għall-ħsarat, b'arkitettura ta' mikroservizz - kull servizz jaħdem f'kontenitur Docker.
Bħal OSSIM, MozDef huwa mibni fuq proġetti ta’ sors miftuħ ittestjati fiż-żmien, inkluż il-modulu ta’ indiċjar u tfittxija ta’ log Elasticsearch, il-pjattaforma Meteor għall-bini ta’ interface tal-web flessibbli, u l-plugin Kibana għall-viżwalizzazzjoni u t-tpinġija.
Il-korrelazzjoni tal-avvenimenti u t-twissija jitwettqu bl-użu ta’ mistoqsijiet Elasticsearch, li jippermettilek tikteb ir-regoli tal-ipproċessar tal-avvenimenti u t-twissija tiegħek billi tuża Python. Skont Mozilla, MozDef jista 'jipproċessa aktar minn 300 miljun avveniment kuljum. MozDef jaċċetta biss avvenimenti fil-format JSON, iżda hemm integrazzjoni ma 'servizzi ta' partijiet terzi.
Vantaġġi
- Ma jużax aġenti - jaħdem bi zkuk JSON standard;
- Tiskala faċilment grazzi għall-arkitettura tal-mikroservizz;
- Jappoġġja sorsi tad-dejta tas-servizz tal-cloud inklużi AWS CloudTrail u GuardDuty.
Limitazzjonijiet
- Sistema ġdida u inqas stabbilita.
Wazuh
Wazuh beda l-iżvilupp bħala furketta ta 'OSSEC, wieħed mis-SIEMs ta' sors miftuħ l-aktar popolari. U issa hija s-soluzzjoni unika tagħha stess b'funzjonalità ġdida, bug fixes u arkitettura ottimizzata.
Is-sistema hija mibnija fuq il-munzell ElasticStack (Elasticsearch, Logstash, Kibana) u tappoġġja kemm il-ġbir tad-dejta bbażat fuq l-aġent kif ukoll l-inġestjoni tal-log tas-sistema. Dan jagħmilha effettiva għall-apparat ta 'monitoraġġ li jiġġeneraw zkuk iżda ma jappoġġjawx l-installazzjoni tal-aġent - tagħmir tan-netwerk, printers u periferali.
Wazuh jappoġġja aġenti eżistenti tal-OSSEC u anke jipprovdi gwida dwar il-migrazzjoni mill-OSSEC għal Wazuh. Għalkemm l-OSSEC għadu appoġġjat b'mod attiv, Wazuh huwa meqjus bħala kontinwazzjoni tal-OSSEC minħabba ż-żieda ta 'interface tal-web ġdida, REST API, sett aktar komplut ta' regoli, u ħafna titjib ieħor.
Vantaġġi
- Ibbażat fuq u kompatibbli mal-SIEM OSSEC popolari;
- Jappoġġja diversi għażliet ta 'installazzjoni: Docker, Puppet, Chef, Ansible;
- Jappoġġja l-monitoraġġ tas-servizzi tal-cloud, inklużi AWS u Azure;
- Jinkludi sett komprensiv ta' regoli biex tiskopri diversi tipi ta' attakki u tippermettilek tqabbelhom skont PCI DSS v3.1 u CIS.
- Jintegra mas-sistema tal-ħażna u l-analiżi tal-log Splunk għall-viżwalizzazzjoni tal-avvenimenti u l-appoġġ tal-API.
Limitazzjonijiet
- Arkitettura kumplessa - teħtieġ skjerament sħiħ ta 'Elastic Stack flimkien mal-komponenti backend Wazuh.
Preludju OS
Prelude OSS hija verżjoni open-source tal-Prelude SIEM kummerċjali, żviluppata mill-kumpanija Franċiża CS. Is-soluzzjoni hija sistema SIEM flessibbli u modulari li tappoġġja formati multipli ta 'log, integrazzjoni ma' għodod ta 'partijiet terzi bħal OSSEC, Snort u s-sistema ta' skoperta tan-netwerk Suricata.
Kull avveniment huwa normalizzat f'messaġġ bl-użu tal-format IDMEF, li jissimplifika l-iskambju tad-dejta ma' sistemi oħra. Iżda hemm fly fl-ingwent - Prelude OSS huwa limitat ħafna fil-prestazzjoni u l-funzjonalità meta mqabbel mal-verżjoni kummerċjali ta 'Prelude SIEM, u huwa maħsub aktar għal proġetti żgħar jew għall-istudju ta' soluzzjonijiet SIEM u l-evalwazzjoni ta 'Prelude SIEM.
Vantaġġi
- Sistema ttestjata fil-ħin, żviluppata mill-1998;
- Jappoġġja ħafna formati ta 'log differenti;
- Jinnormalizza d-dejta fil-format IMDEF, li jagħmilha faċli biex tittrasferixxi d-dejta għal sistemi ta 'sigurtà oħra.
Limitazzjonijiet
- Limitat b'mod sinifikanti fil-funzjonalità u l-prestazzjoni meta mqabbel ma 'sistemi SIEM ta' sors miftuħ ieħor.
Sagan
Sagan huwa SIEM ta 'prestazzjoni għolja li jenfasizza l-kompatibilità ma' Snort. Minbarra r-regoli ta 'appoġġ miktuba għal Snort, Sagan jista' jikteb fid-database ta 'Snort u jista' saħansitra jintuża mal-interface Shuil. Essenzjalment, hija soluzzjoni ħafifa b'ħafna kamini li toffri karatteristiċi ġodda filwaqt li tibqa' faċli għall-utenti Snort.
Vantaġġi
- Kompatibbli bis-sħiħ mad-database, ir-regoli u l-interface tal-utent Snort;
- L-arkitettura b'ħafna kamini tipprovdi prestazzjoni għolja.
Limitazzjonijiet
- Proġett relattivament żgħir b’komunità żgħira;
- Proċess ta 'installazzjoni kumpless li jinvolvi l-bini tas-SIEM kollu mis-sors.
Konklużjoni
Kull waħda mis-sistemi SIEM deskritti għandha l-karatteristiċi u l-limitazzjonijiet tagħha stess, għalhekk ma jistgħux jissejħu soluzzjoni universali għal kwalunkwe organizzazzjoni. Madankollu, dawn is-soluzzjonijiet huma sors miftuħ, li jippermettulhom li jiġu skjerati, ttestjati u evalwati mingħajr ma jeħlu spejjeż eċċessivi.
X'iktar interessanti tista' taqra fuq il-blog?
→
→
→
→
→
Abbona għal tagħna -kanal sabiex ma titlifx l-artiklu li jmiss! Aħna niktbu mhux aktar minn darbtejn fil-ġimgħa u biss fuq in-negozju.
Sors: www.habr.com