ProHoster > بلاګ > اداره > 5 د خلاصې سرچینې امنیت پیښې مدیریت سیسټمونه

5 د خلاصې سرچینې امنیت پیښې مدیریت سیسټمونه

5 د خلاصې سرچینې امنیت پیښې مدیریت سیسټمونه

د معلوماتي ټیکنالوژۍ ښه امنیت متخصص څنګه له عادي څخه توپیر لري؟ نه، د دې حقیقت له مخې چې په هر وخت کې هغه کولی شي د حافظې څخه د پیغامونو شمیره نوم کړي چې مدیر ایګور پرون خپل همکار ماریا ته لیږلی و. یو ښه امنیتي متخصص هڅه کوي چې احتمالي سرغړونې مخکې له مخکې وپیژني او په ریښتیني وخت کې یې ونیسي، هره هڅه کوي ترڅو ډاډ ترلاسه کړي چې پیښه دوام ونلري. د امنیتي پیښو مدیریت سیسټمونه (SIEM، د امنیت معلوماتو او پیښو مدیریت څخه) د هرې هڅې سرغړونې د چټک ثبت او بندولو دنده خورا ساده کوي.

په دودیز ډول، د SIEM سیسټمونه د معلوماتو امنیت مدیریت سیسټم او د امنیتي پیښو مدیریت سیسټم سره یوځای کوي. د سیسټمونو یوه مهمه ځانګړتیا په ریښتیني وخت کې د امنیتي پیښو تحلیل دی، کوم چې تاسو ته اجازه درکوي مخکې له دې چې موجوده زیان پیښ شي دوی ته ځواب ووایی.

د SIEM سیسټم اصلي دندې:

  • د معلوماتو راټولول او نورمال کول
  • د معلوماتو اړیکه
  • خبرتیا
  • د لید لید پینل
  • د معلوماتو ذخیره کولو تنظیم کول
  • د معلوماتو لټون او تحلیل
  • راپور ورکول

د SIEM سیسټمونو لپاره د لوړې غوښتنې لاملونه

په دې وروستیو کې، د معلوماتو سیسټمونو باندې د بریدونو پیچلتیا او همغږي ډیره شوې ده. په ورته وخت کې، د معلوماتو د خوندیتوب وسایلو پیچلتیا کارول هم خورا پیچلي کیږي — شبکه او د کوربه پر بنسټ د مداخلې کشف سیسټمونه، د DLP سیسټمونه، د ویروس ضد سیسټمونه او اور وژونکي، د زیان مننې سکینرونه، او نور. هره امنیتي وسیله د مختلفو کچو توضیحاتو سره د پیښو لړۍ رامینځته کوي ، او ډیری وختونه برید یوازې د مختلف سیسټمونو څخه د پیښو له مینځه وړلو سره لیدل کیدی شي.

د هر ډول سوداګریز SIEM سیسټمونو په اړه ډیر څه شتون لري لیکل شوی، مګر موږ د وړیا ، بشپړ خلاصې سرچینې SIEM سیسټمونو لنډه کتنه وړاندې کوو چې د کاروونکو شمیر یا د منل شوي زیرمه شوي ډیټا حجم باندې مصنوعي محدودیتونه نلري ، او همدارنګه په اسانۍ سره د توزیع وړ او ملاتړ کیږي. موږ امید لرو چې دا به د داسې سیسټمونو احتمالي ارزونې کې مرسته وکړي او پریکړه وکړي چې ایا دا ډول حلونه د شرکت سوداګرۍ پروسو کې د ادغام ارزښت لري.

AlienVault OSSIM

5 د خلاصې سرچینې امنیت پیښې مدیریت سیسټمونه

AlienVault OSSIM د AlienVault USM خلاص سرچینه نسخه ده، یو له مخکښ سوداګریز SIEM سیسټمونو څخه دی. OSSIM یو چوکاټ دی چې د خلاصې سرچینې ډیری پروژې لري ، پشمول د Snort شبکې مداخلې کشف سیسټم ، د ناګیوس شبکه او د کوربه څارنې سیسټم ، د OSSEC کوربه میشته مداخلې کشف سیسټم ، او د OpenVAS زیان منونکي سکینر.

د وسیلو څارلو لپاره، د AlienVault اجنټ کارول کیږي، کوم چې د کوربه څخه د Syslog بڼه کې د GELF پلیټ فارم ته لاګونه لیږي، یا یو پلگ ان د دریمې ډلې خدماتو سره د ادغام لپاره کارول کیدی شي، لکه د Cloudflare ویب پاڼه ریورس پراکسي خدمت یا Okta multi. - د فکتور تصدیق کولو سیسټم.

د USM نسخه د OSSIM څخه توپیر لري چې د لاګ مدیریت، کلاوډ زیربنا څارنې، اتوماتیک، او تازه ګواښ معلوماتو او لید لپاره د ښه فعالیت سره.

ګټي

  • د خلاصې سرچینې په ثابت پروژو باندې جوړ شوی؛
  • د کاروونکو او پراختیا کونکو لویه ټولنه.

نيمګړتياوې

  • د کلاوډ پلیټ فارمونو نظارت ملاتړ نه کوي (د مثال په توګه ، AWS یا Azure)؛
  • د دریمې ډلې خدماتو سره د لاګ مدیریت، لید، اتوماتیک یا ادغام شتون نلري.

سرچینه

MozDef (د موزیلا دفاع پلیټ فارم)

5 د خلاصې سرچینې امنیت پیښې مدیریت سیسټمونه

د MozDef SIEM سیسټم چې د موزیلا لخوا رامینځته شوی د امنیتي پیښو پروسس کولو پروسې اتومات کولو لپاره کارول کیږي. سیسټم له ځمکې څخه ډیزاین شوی ترڅو اعظمي فعالیت ، توزیع او خطا زغم ترلاسه کړي ، د مایکرو سرویس جوړښت سره - هر خدمت په ډاکر کانټینر کې پرمخ ځي.

د OSSIM په څیر، MozDef د وخت ازمول شوي خلاصې سرچینې پروژې باندې رامینځته شوی ، پشمول د Elasticsearch لاګ انډیکسینګ او د لټون ماډل ، د انعطاف وړ ویب انٹرفیس جوړولو لپاره میټیور پلیټ فارم ، او د لید او پلاټ کولو لپاره کیبانا پلگ ان.

د پیښې ارتباط او خبرتیا د Elasticsearch پوښتنو په کارولو سره ترسره کیږي ، کوم چې تاسو ته اجازه درکوي د Python په کارولو سره خپل د پیښې پروسس کولو او خبرتیا قواعد ولیکئ. د موزیلا په وینا، موز ډیف کولی شي هره ورځ له 300 ملیون څخه ډیر پیښې پروسس کړي. MozDef یوازې د JSON بڼه کې پیښې مني، مګر د دریمې ډلې خدماتو سره ادغام شتون لري.

ګټي

  • اجنټان نه کاروي - د معیاري JSON لاګونو سره کار کوي؛
  • د مایکرو سرویس معمارۍ څخه مننه په اسانۍ سره اندازه کول؛
  • د کلاوډ خدماتو ډیټا سرچینو ملاتړ کوي پشمول د AWS CloudTrail او GuardDuty.

نيمګړتياوې

  • نوی او لږ تاسیس شوی سیسټم.

سرچینه

وضوح

5 د خلاصې سرچینې امنیت پیښې مدیریت سیسټمونه

وازوه د OSSEC د فورک په توګه پرمختګ پیل کړ، یو له خورا مشهور خلاصې سرچینې SIEMs څخه. او اوس دا د نوي فعالیت ، بګ فکسونو او مطلوب جوړښت سره خپل ځانګړی حل دی.

سیسټم په ElasticStack سټیک (Elasticsearch، Logstash، Kibana) کې جوړ شوی او د اجنټ پر بنسټ د معلوماتو راټولولو او د سیسټم لاګ داخلولو ملاتړ کوي. دا د څارنې وسیلو لپاره مؤثره کوي چې لاګونه رامینځته کوي مګر د ایجنټ نصبولو ملاتړ نه کوي - د شبکې وسیلې ، پرنټرونه او پیری فیرلز.

وازوه د OSSEC د موجوده اجنټانو ملاتړ کوي او حتی د OSSEC څخه وازوح ته د مهاجرت په اړه لارښوونې چمتو کوي. که څه هم OSSEC لاهم په فعاله توګه ملاتړ کیږي، Wazuh د نوي ویب انټرفیس، REST API، د قواعدو یو بشپړ سیټ، او ډیری نورو پرمختګونو اضافه کولو له امله د OSSEC د دوام په توګه لیدل کیږي.

ګټي

  • پر بنسټ او د مشهور SIEM OSSEC سره مطابقت لري؛
  • د مختلف نصب کولو اختیارونو ملاتړ کوي: ډاکر، ګوډاګی، شیف، ځواب ورکوونکی؛
  • د بادل خدماتو نظارت ملاتړ کوي ، پشمول د AWS او Azure؛
  • د بریدونو ډیری ډولونو کشف کولو لپاره د قواعدو جامع سیټ شامل دي او تاسو ته اجازه درکوي د PCI DSS v3.1 او CIS سره سم پرتله کړئ.
  • د پیښې لید او API ملاتړ لپاره د سپلنک لاګ ذخیره کولو او تحلیل سیسټم سره مدغم کیږي.

نيمګړتياوې

  • پیچلي جوړښت - د وازوه پس منظر اجزاو سربیره د بشپړ لچک لرونکي سټیک ګمارنې ته اړتیا لري.

سرچینه

Prelude OS

5 د خلاصې سرچینې امنیت پیښې مدیریت سیسټمونه

Prelude OSS د تجارتي Prelude SIEM د خلاصې سرچینې نسخه ده چې د فرانسوي شرکت CS لخوا رامینځته شوې. حل د انعطاف وړ ، ماډلر SIEM سیسټم دی چې د ډیری لاګ فارمیټونو ملاتړ کوي ، د دریمې ډلې وسیلو سره ادغام لکه OSSEC ، Snort او د Suricata شبکې کشف سیسټم.

هره پیښه د IDMEF بڼه په کارولو سره په پیغام کې نورمال کیږي، کوم چې د نورو سیسټمونو سره د معلوماتو تبادله ساده کوي. مګر په عطر کې مچ شتون لري - Prelude OSS د Prelude SIEM سوداګریزې نسخې په پرتله په فعالیت او فعالیت کې خورا محدود دی، او د کوچنیو پروژو لپاره یا د SIEM حلونو مطالعې او د Prelude SIEM ارزولو لپاره ډیر هدف لري.

ګټي

  • د وخت ازمول شوی سیسټم، له 1998 راهیسې رامینځته شوی؛
  • د ډیری مختلف لاګ فارمیټونو ملاتړ کوي؛
  • د IMDEF فارمیټ ته ډیټا نورمال کوي ، نورو امنیتي سیسټمونو ته د ډیټا لیږد اسانه کوي.

نيمګړتياوې

  • د نورو خلاصې سرچینې SIEM سیسټمونو په پرتله په فعالیت او فعالیت کې د پام وړ محدود.

سرچینه

سیګن

5 د خلاصې سرچینې امنیت پیښې مدیریت سیسټمونه

ساګان د لوړ فعالیت SIEM دی چې د Snort سره مطابقت ټینګار کوي. د Snort لپاره لیکل شوي مالتړ قواعدو سربیره، ساګن کولی شي د سنورټ ډیټابیس ته ولیکي او حتی د شویل انٹرفیس سره کارول کیدی شي. په لازمي ډول ، دا یو لږ وزن لرونکی ملټي تھریډ حل دی چې نوي ب featuresې وړاندې کوي پداسې حال کې چې د سنورټ کاروونکو ته دوستانه پاتې کیږي.

ګټي

  • د Snort ډیټابیس، قواعدو، او کارن انٹرفیس سره په بشپړه توګه مطابقت لري؛
  • د څو تارونو جوړښت لوړ فعالیت وړاندې کوي.

نيمګړتياوې

  • د یوې کوچنۍ ټولنې سره نسبتا ځوان پروژه؛
  • د نصب کولو یوه پیچلې پروسه چې د سرچینې څخه د ټول SIEM جوړول پکې شامل دي.

سرچینه

پایلې

د بیان شوي SIEM سیسټمونو څخه هر یو خپل ځانګړتیاوې او محدودیتونه لري، نو دوی نشي کولی د کومې ادارې لپاره یو نړیوال حل وبلل شي. په هرصورت، دا حلونه خلاصې سرچینې دي، دوی ته اجازه ورکوي چې پرته له اضافي لګښتونو څخه ګمارل، ازموینې او ارزونه وکړي.

تاسو په بلاګ کې نور څه په زړه پوري لوستلی شئ؟ Cloud4Y

د ټولې سیارې VNIITE: څنګه د "سمارټ کور" سیسټم په شوروي اتحاد کې اختراع شو
عصبي انٹرفیس څنګه د انسانیت سره مرسته کوي
د روسیې په بازار کې سایبر بیمه
رڼا، کیمره ... بادل: بادونه څنګه د فلم صنعت بدلوي
په ورېځو کې فوټبال - فیشن یا اړتیا؟

زموږ سره ګډون وکړئ Telegram- چینل نو تاسو راتلونکی مقاله له لاسه ورنکړئ! موږ په اونۍ کې له دوه ځله څخه ډیر نه لیکو او یوازې په سوداګرۍ کې.

سرچینه: www.habr.com