Czym dobry specjalista ds. bezpieczeństwa IT różni się od zwykłego? Nie, nie przez to, że w każdej chwili może wymienić z pamięci liczbę wiadomości, które menadżer Igor wysłał wczoraj swojej koleżance Marii. Dobry specjalista ds. bezpieczeństwa stara się z wyprzedzeniem identyfikować ewentualne naruszenia i wyłapywać je w czasie rzeczywistym, dokładając wszelkich starań, aby incydent nie miał kontynuacji. Systemy zarządzania zdarzeniami bezpieczeństwa (SIEM, od Security Information and Event Management) znacznie upraszczają zadanie szybkiego rejestrowania i blokowania wszelkich prób naruszeń.
Tradycyjnie systemy SIEM łączą w sobie system zarządzania bezpieczeństwem informacji i system zarządzania zdarzeniami związanymi z bezpieczeństwem. Ważną cechą systemów jest analiza zdarzeń bezpieczeństwa w czasie rzeczywistym, co pozwala na reakcję na nie, zanim nastąpią istniejące szkody.
Główne zadania systemów SIEM:
- Gromadzenie i normalizacja danych
- Korelacja danych
- Alarm
- Panele wizualizacyjne
- Organizacja przechowywania danych
- Wyszukiwanie i analiza danych
- Raportowanie
Przyczyny dużego zapotrzebowania na systemy SIEM
W ostatnim czasie znacznie wzrosła złożoność i koordynacja ataków na systemy informatyczne. Jednocześnie kompleks stosowanych narzędzi bezpieczeństwa informacji staje się coraz bardziej złożony — sieciowe i hostowe systemy wykrywania włamań, systemy DLP, systemy antywirusowe i zapory ogniowe, skanery podatności itp. Każde narzędzie bezpieczeństwa generuje strumień zdarzeń o różnym poziomie szczegółowości i często atak można rozpoznać jedynie poprzez nakładające się zdarzenia z różnych systemów.
Jest dużo na temat wszelkiego rodzaju komercyjnych systemów SIEM , ale oferujemy krótki przegląd bezpłatnych, pełnoprawnych systemów SIEM typu open source, które nie mają sztucznych ograniczeń co do liczby użytkowników ani ilości akceptowanych przechowywanych danych, a także są łatwo skalowalne i obsługiwane. Mamy nadzieję, że pomoże to ocenić potencjał takich systemów i zdecydować, czy warto integrować takie rozwiązania z procesami biznesowymi firmy.
AlienVault OSSIM
AlienVault OSSIM to otwarta wersja AlienVault USM, jednego z wiodących komercyjnych systemów SIEM. OSSIM to platforma składająca się z kilku projektów typu open source, w tym systemu wykrywania włamań do sieci Snort, systemu monitorowania sieci i hostów Nagios, systemu wykrywania włamań opartego na hoście OSSEC oraz skanera podatności OpenVAS.
Do monitorowania urządzeń wykorzystywany jest Agent AlienVault, który wysyła logi z hosta w formacie syslog na platformę GELF, lub można wykorzystać wtyczkę umożliwiającą integrację z usługami stron trzecich, takimi jak usługa odwrotnego proxy witryny Cloudflare lub Okta multi -system uwierzytelniania czynnikowego.
Wersja USM różni się od OSSIM ulepszoną funkcjonalnością zarządzania logami, monitorowania infrastruktury chmury, automatyzacji oraz aktualnych informacji i wizualizacji zagrożeń.
Zalety
- Zbudowany na sprawdzonych projektach open source;
- Duża społeczność użytkowników i programistów.
Ograniczenia
- Nie obsługuje monitorowania platform chmurowych (na przykład AWS lub Azure);
- Nie ma zarządzania logami, wizualizacji, automatyzacji ani integracji z usługami stron trzecich.
MozDef (platforma obronna Mozilli)
System MozDef SIEM opracowany przez Mozillę służy do automatyzacji procesów przetwarzania incydentów bezpieczeństwa. System został zaprojektowany od podstaw tak, aby osiągnąć maksymalną wydajność, skalowalność i odporność na awarie, przy architekturze mikroserwisowej - każda usługa działa w kontenerze Docker.
Podobnie jak OSSIM, MozDef opiera się na sprawdzonych projektach open source, w tym na module indeksowania i wyszukiwania dzienników Elasticsearch, platformie Meteor do tworzenia elastycznego interfejsu sieciowego oraz wtyczce Kibana do wizualizacji i kreślenia.
Korelacja zdarzeń i alerty są wykonywane przy użyciu zapytań Elasticsearch, co umożliwia pisanie własnych reguł przetwarzania zdarzeń i alertów przy użyciu języka Python. Według Mozilli MozDef może przetwarzać ponad 300 milionów zdarzeń dziennie. MozDef akceptuje tylko zdarzenia w formacie JSON, ale istnieje integracja z usługami stron trzecich.
Zalety
- Nie korzysta z agentów - współpracuje ze standardowymi logami JSON;
- Łatwe skalowanie dzięki architekturze mikrousług;
- Obsługuje źródła danych usług w chmurze, w tym AWS CloudTrail i GuardDuty.
Ograniczenia
- Nowy i mniej ugruntowany system.
Łaz
Rozwój Wazuh rozpoczął się jako rozwidlenie OSSEC, jednego z najpopularniejszych rozwiązań SIEM typu open source. A teraz jest to własne, unikalne rozwiązanie z nową funkcjonalnością, poprawkami błędów i zoptymalizowaną architekturą.
System jest zbudowany na stosie ElasticStack (Elasticsearch, Logstash, Kibana) i obsługuje zarówno gromadzenie danych w oparciu o agenty, jak i pozyskiwanie dzienników systemowych. Dzięki temu jest skuteczny w monitorowaniu urządzeń generujących logi, ale nie obsługujących instalacji agenta - urządzeń sieciowych, drukarek i urządzeń peryferyjnych.
Wazuh wspiera istniejących agentów OSSEC, a nawet zapewnia wskazówki dotyczące migracji z OSSEC do Wazuh. Chociaż OSSEC jest nadal aktywnie wspierany, Wazuh jest postrzegany jako kontynuacja OSSEC ze względu na dodanie nowego interfejsu sieciowego, interfejsu API REST, pełniejszego zestawu reguł i wielu innych ulepszeń.
Zalety
- Oparty i kompatybilny z popularnym SIEM OSSEC;
- Obsługuje różne opcje instalacji: Docker, Puppet, Chef, Ansible;
- Obsługuje monitorowanie usług chmurowych, w tym AWS i Azure;
- Zawiera kompleksowy zestaw reguł wykrywających wiele rodzajów ataków i umożliwia ich porównanie zgodnie z PCI DSS v3.1 i CIS.
- Integruje się z systemem przechowywania i analizy logów Splunk w celu wizualizacji zdarzeń i obsługi API.
Ograniczenia
- Złożona architektura — wymaga pełnego wdrożenia Elastic Stack oprócz komponentów zaplecza Wazuh.
Preludium systemu operacyjnego
Prelude OSS to otwarta wersja komercyjnego Prelude SIEM, opracowana przez francuską firmę CS. Rozwiązaniem jest elastyczny, modułowy system SIEM obsługujący wiele formatów logów, integracja z narzędziami innych firm, takimi jak OSSEC, Snort i system detekcji sieci Suricata.
Każde zdarzenie jest normalizowane do komunikatu w formacie IDMEF, co ułatwia wymianę danych z innymi systemami. Ale jest w tym pewna luka – Prelude OSS ma bardzo ograniczoną wydajność i funkcjonalność w porównaniu z komercyjną wersją Prelude SIEM i jest przeznaczony bardziej do małych projektów lub do badania rozwiązań SIEM i oceny Prelude SIEM.
Zalety
- Sprawdzony system, rozwijany od 1998 roku;
- Obsługuje wiele różnych formatów dzienników;
- Normalizuje dane do formatu IMDEF, ułatwiając przesyłanie danych do innych systemów bezpieczeństwa.
Ograniczenia
- Znacznie ograniczona funkcjonalność i wydajność w porównaniu do innych systemów SIEM typu open source.
Sagan
Sagan to wysokowydajny SIEM, który kładzie nacisk na kompatybilność z Snort. Oprócz obsługi reguł napisanych dla Snorta, Sagan może zapisywać dane w bazie danych Snort i może być nawet używany z interfejsem Shuil. Zasadniczo jest to lekkie, wielowątkowe rozwiązanie, które oferuje nowe funkcje, a jednocześnie jest przyjazne dla użytkowników Snorta.
Zalety
- W pełni kompatybilny z bazą danych Snort, regułami i interfejsem użytkownika;
- Architektura wielowątkowa zapewnia wysoką wydajność.
Ograniczenia
- Stosunkowo młody projekt z małą społecznością;
- Złożony proces instalacji obejmujący zbudowanie całego SIEM ze źródła.
wniosek
Każdy z opisanych systemów SIEM ma swoją charakterystykę i ograniczenia, dlatego nie można ich nazwać uniwersalnym rozwiązaniem dla każdej organizacji. Jednakże rozwiązania te mają charakter open source, co pozwala na ich wdrażanie, testowanie i ocenę bez ponoszenia nadmiernych kosztów.
Co jeszcze ciekawego możesz przeczytać na blogu?
→
→
→
→
→
Zapisz się do naszego -channel, żeby nie przegapić kolejnego artykułu! Piszemy nie częściej niż dwa razy w tygodniu i tylko w sprawach służbowych.
Źródło: www.habr.com