Waarin verschilt een goede IT-beveiligingsspecialist van een gewone? Nee, niet door het feit dat hij op elk moment uit zijn hoofd kan opnoemen hoeveel berichten manager Igor gisteren naar zijn collega Maria heeft gestuurd. Een goede beveiligingsspecialist probeert mogelijke overtredingen vooraf te identificeren en realtime op te sporen, waarbij hij er alles aan doet om ervoor te zorgen dat het incident zich niet voortzet. Systemen voor beveiligingsgebeurtenisbeheer (SIEM, van Security Information and Event Management) vereenvoudigen de taak van het snel registreren en blokkeren van eventuele pogingen tot overtreding aanzienlijk.
Traditioneel combineren SIEM-systemen een informatiebeveiligingsbeheersysteem en een beveiligingsgebeurtenisbeheersysteem. Een belangrijk kenmerk van de systemen is de realtime analyse van beveiligingsgebeurtenissen, waardoor u hierop kunt reageren voordat er bestaande schade ontstaat.
Belangrijkste taken van SIEM-systemen:
- Gegevensverzameling en normalisatie
- Gegevenscorrelatie
- Alert
- Visualisatiepanelen
- Organisatie van gegevensopslag
- Gegevens zoeken en analyseren
- Rapportage
Redenen voor de grote vraag naar SIEM-systemen
De laatste tijd is de complexiteit en coördinatie van aanvallen op informatiesystemen enorm toegenomen. Tegelijkertijd wordt het complex van gebruikte informatiebeveiligingstools ook complexer: netwerk- en hostgebaseerde inbraakdetectiesystemen, DLP-systemen, antivirussystemen en firewalls, kwetsbaarheidsscanners, enz. Elke beveiligingstool genereert een stroom gebeurtenissen met verschillende detailniveaus, en vaak kan een aanval alleen worden gezien door overlappende gebeurtenissen van verschillende systemen.
Er is veel te vinden over allerlei commerciële SIEM-systemen , maar we bieden een kort overzicht van gratis, volwaardige open source SIEM-systemen die geen kunstmatige beperkingen hebben op het aantal gebruikers of de hoeveelheid geaccepteerde opgeslagen data, en bovendien gemakkelijk schaalbaar en ondersteund zijn. We hopen dat dit zal helpen het potentieel van dergelijke systemen te beoordelen en te beslissen of dergelijke oplossingen de moeite waard zijn om in de bedrijfsprocessen van het bedrijf te integreren.
AlienVaultOSSIM
AlienVault OSSIM is een open-sourceversie van AlienVault USM, een van de toonaangevende commerciële SIEM-systemen. OSSIM is een raamwerk dat bestaat uit verschillende open source-projecten, waaronder het Snort-netwerkinbraakdetectiesysteem, het Nagios-netwerk en hostmonitoringsysteem, het OSSEC host-gebaseerde inbraakdetectiesysteem en de OpenVAS-kwetsbaarheidsscanner.
Om apparaten te monitoren wordt de AlienVault Agent gebruikt, die logs van de host in syslog-formaat naar het GELF-platform verzendt, of er kan een plug-in worden gebruikt voor integratie met diensten van derden, zoals de Reverse Proxy-service van de Cloudflare-website of de Okta multi -factorauthenticatiesysteem.
De USM-versie verschilt van OSSIM met verbeterde functionaliteit voor logbeheer, monitoring van de cloudinfrastructuur, automatisering en bijgewerkte dreigingsinformatie en visualisatie.
Voordelen
- Gebouwd op bewezen open-sourceprojecten;
- Grote gemeenschap van gebruikers en ontwikkelaars.
Beperkingen
- Ondersteunt geen monitoring van cloudplatforms (bijvoorbeeld AWS of Azure);
- Er is geen logbeheer, visualisatie, automatisering of integratie met diensten van derden.
MozDef (Mozilla-verdedigingsplatform)
Het door Mozilla ontwikkelde MozDef SIEM-systeem wordt gebruikt om de verwerkingsprocessen voor beveiligingsincidenten te automatiseren. Het systeem is vanaf de basis ontworpen om maximale prestaties, schaalbaarheid en fouttolerantie te bereiken, met een microservice-architectuur: elke service draait in een Docker-container.
Net als OSSIM is MozDef gebouwd op beproefde open source-projecten, waaronder de Elasticsearch-logindexerings- en zoekmodule, het Meteor-platform voor het bouwen van een flexibele webinterface en de Kibana-plug-in voor visualisatie en plotten.
Correlatie en waarschuwingen voor gebeurtenissen worden uitgevoerd met behulp van Elasticsearch-query's, waarmee u uw eigen regels voor gebeurtenisverwerking en waarschuwingen kunt schrijven met Python. Volgens Mozilla kan MozDef meer dan 300 miljoen gebeurtenissen per dag verwerken. MozDef accepteert alleen evenementen in JSON-formaat, maar er is integratie met services van derden.
Voordelen
- Maakt geen gebruik van agenten - werkt met standaard JSON-logboeken;
- Gemakkelijk schaalbaar dankzij microservice-architectuur;
- Ondersteunt gegevensbronnen voor cloudservices, waaronder AWS CloudTrail en GuardDuty.
Beperkingen
- Nieuw en minder gevestigd systeem.
Wazuho
Wazuh begon met de ontwikkeling als een afsplitsing van OSSEC, een van de meest populaire open source SIEM's. En nu is het zijn eigen unieke oplossing met nieuwe functionaliteit, bugfixes en geoptimaliseerde architectuur.
Het systeem is gebouwd op de ElasticStack-stack (Elasticsearch, Logstash, Kibana) en ondersteunt zowel agentgebaseerde gegevensverzameling als systeemlogboekopname. Dit maakt het effectief voor het monitoren van apparaten die logbestanden genereren maar de installatie van agenten niet ondersteunen - netwerkapparaten, printers en randapparatuur.
Wazuh ondersteunt bestaande OSSEC-agenten en biedt zelfs begeleiding bij de migratie van OSSEC naar Wazuh. Hoewel OSSEC nog steeds actief wordt ondersteund, wordt Wazuh gezien als een voortzetting van OSSEC vanwege de toevoeging van een nieuwe webinterface, REST API, een completere set regels en vele andere verbeteringen.
Voordelen
- Gebaseerd op en compatibel met de populaire SIEM OSSEC;
- Ondersteunt verschillende installatieopties: Docker, Puppet, Chef, Ansible;
- Ondersteunt monitoring van clouddiensten, waaronder AWS en Azure;
- Bevat een uitgebreide set regels om meerdere soorten aanvallen te detecteren en stelt u in staat deze te vergelijken in overeenstemming met PCI DSS v3.1 en CIS.
- Kan worden geïntegreerd met het Splunk-logopslag- en analysesysteem voor gebeurtenisvisualisatie en API-ondersteuning.
Beperkingen
- Complexe architectuur - vereist een volledige Elastic Stack-implementatie naast Wazuh-backendcomponenten.
Voorspel OSS
Prelude OSS is een open-sourceversie van het commerciële Prelude SIEM, ontwikkeld door het Franse bedrijf CS. De oplossing is een flexibel, modulair SIEM-systeem dat meerdere logformaten ondersteunt, integratie met tools van derden zoals OSSEC, Snort en het Suricata-netwerkdetectiesysteem.
Elke gebeurtenis wordt genormaliseerd in een bericht met behulp van het IDMEF-formaat, wat de gegevensuitwisseling met andere systemen vereenvoudigt. Maar er zit een vlieg in de zalf: Prelude OSS is zeer beperkt qua prestaties en functionaliteit vergeleken met de commerciële versie van Prelude SIEM, en is meer bedoeld voor kleine projecten of voor het bestuderen van SIEM-oplossingen en het evalueren van Prelude SIEM.
Voordelen
- Beproefd systeem, ontwikkeld sinds 1998;
- Ondersteunt veel verschillende logformaten;
- Normaliseert gegevens naar IMDEF-indeling, waardoor gegevens eenvoudig naar andere beveiligingssystemen kunnen worden overgedragen.
Beperkingen
- Aanzienlijk beperkt in functionaliteit en prestaties in vergelijking met andere open-source SIEM-systemen.
Sagan
Sagan is een krachtige SIEM die de nadruk legt op compatibiliteit met Snort. Naast het ondersteunen van regels die voor Snort zijn geschreven, kan Sagan naar de Snort-database schrijven en zelfs worden gebruikt met de Shuil-interface. In wezen is het een lichtgewicht multi-threaded oplossing die nieuwe functies biedt en toch vriendelijk blijft voor Snort-gebruikers.
Voordelen
- Volledig compatibel met Snort-database, regels en gebruikersinterface;
- Multi-threaded architectuur zorgt voor hoge prestaties.
Beperkingen
- Een relatief jong project met een kleine gemeenschap;
- Een complex installatieproces waarbij de volledige SIEM vanaf de bron moet worden gebouwd.
Conclusie
Elk van de beschreven SIEM-systemen heeft zijn eigen kenmerken en beperkingen, waardoor ze niet voor welke organisatie dan ook een universele oplossing kunnen worden genoemd. Deze oplossingen zijn echter open source, waardoor ze zonder buitensporige kosten kunnen worden ingezet, getest en geëvalueerd.
Wat kun je nog meer interessants lezen op de blog?
→
→
→
→
→
Abonneer u op onze -channel zodat je het volgende artikel niet mist! We schrijven niet vaker dan twee keer per week en alleen voor zaken.
Bron: www.habr.com