Qual a diferença entre um bom especialista em segurança de TI e um especialista comum? Não, não pelo fato de ele poder a qualquer momento nomear de memória a quantidade de mensagens que o gerente Igor enviou ontem para sua colega Maria. Um bom especialista em segurança tenta identificar antecipadamente possíveis violações e detectá-las em tempo real, fazendo todos os esforços para garantir que o incidente não continue. Os sistemas de gerenciamento de eventos de segurança (SIEM, de Informações de segurança e gerenciamento de eventos) simplificam muito a tarefa de registrar e bloquear rapidamente qualquer tentativa de violação.
Tradicionalmente, os sistemas SIEM combinam um sistema de gestão de segurança da informação e um sistema de gestão de eventos de segurança. Uma característica importante dos sistemas é a análise de eventos de segurança em tempo real, o que permite responder a eles antes que ocorram danos existentes.
Principais tarefas dos sistemas SIEM:
- Coleta e normalização de dados
- Correlação de dados
- Alerta
- Painéis de visualização
- Organização do armazenamento de dados
- Pesquisa e análise de dados
- Relatórios
Razões para a alta demanda por sistemas SIEM
Recentemente, a complexidade e a coordenação dos ataques aos sistemas de informação aumentaram muito. Ao mesmo tempo, o conjunto de ferramentas de segurança da informação utilizadas também está se tornando mais complexo – sistemas de detecção de intrusão baseados em rede e em host, sistemas DLP, sistemas antivírus e firewalls, scanners de vulnerabilidade, etc. Cada ferramenta de segurança gera um fluxo de eventos com vários níveis de detalhe e, muitas vezes, um ataque só pode ser visto pela sobreposição de eventos de diferentes sistemas.
Há muito sobre todos os tipos de sistemas SIEM comerciais , mas oferecemos uma breve visão geral de sistemas SIEM de código aberto gratuitos e completos que não têm restrições artificiais no número de usuários ou no volume de dados armazenados aceitos e também são facilmente escalonáveis e suportados. Esperamos que isto ajude a avaliar o potencial de tais sistemas e a decidir se vale a pena integrar tais soluções nos processos de negócios da empresa.
AlienVault OSSIM
AlienVault OSSIM é uma versão de código aberto do AlienVault USM, um dos principais sistemas SIEM comerciais. OSSIM é uma estrutura que consiste em vários projetos de código aberto, incluindo o sistema de detecção de intrusão de rede Snort, o sistema de monitoramento de rede e host Nagios, o sistema de detecção de intrusão baseado em host OSSEC e o scanner de vulnerabilidade OpenVAS.
Para monitorar dispositivos, é utilizado o Agente AlienVault, que envia logs do host em formato syslog para a plataforma GELF, ou pode ser utilizado um plugin para integração com serviços de terceiros, como o serviço de proxy reverso do site Cloudflare ou o Okta multi sistema de autenticação de fator.
A versão USM difere do OSSIM com funcionalidade aprimorada para gerenciamento de logs, monitoramento de infraestrutura em nuvem, automação e informações e visualização atualizadas de ameaças.
Vantagens
- Construído em projetos comprovados de código aberto;
- Grande comunidade de usuários e desenvolvedores.
Contras:
- Não oferece suporte ao monitoramento de plataformas em nuvem (por exemplo, AWS ou Azure);
- Não há gerenciamento de logs, visualização, automação ou integração com serviços de terceiros.
MozDef (Plataforma de Defesa Mozilla)
O sistema MozDef SIEM desenvolvido pela Mozilla é usado para automatizar processos de processamento de incidentes de segurança. O sistema foi projetado desde o início para atingir o máximo desempenho, escalabilidade e tolerância a falhas, com uma arquitetura de microsserviços – cada serviço é executado em um contêiner Docker.
Assim como o OSSIM, o MozDef é construído em projetos de código aberto testados pelo tempo, incluindo o módulo de indexação e pesquisa de log Elasticsearch, a plataforma Meteor para construir uma interface web flexível e o plugin Kibana para visualização e plotagem.
A correlação e os alertas de eventos são executados usando consultas do Elasticsearch, que permitem escrever suas próprias regras de processamento e alerta de eventos usando Python. Segundo a Mozilla, o MozDef pode processar mais de 300 milhões de eventos por dia. O MozDef só aceita eventos no formato JSON, mas há integração com serviços de terceiros.
Vantagens
- Não utiliza agentes – funciona com logs JSON padrão;
- Escalável facilmente graças à arquitetura de microsserviços;
- Oferece suporte a fontes de dados de serviços em nuvem, incluindo AWS CloudTrail e GuardDuty.
Contras:
- Sistema novo e menos estabelecido.
wazuh
Wazuh começou o desenvolvimento como um fork do OSSEC, um dos SIEMs de código aberto mais populares. E agora é uma solução exclusiva com novas funcionalidades, correções de bugs e arquitetura otimizada.
O sistema é construído na pilha ElasticStack (Elasticsearch, Logstash, Kibana) e oferece suporte à coleta de dados baseada em agente e à ingestão de log do sistema. Isso o torna eficaz para monitorar dispositivos que geram logs, mas não suportam a instalação de agentes – dispositivos de rede, impressoras e periféricos.
Wazuh oferece suporte aos agentes OSSEC existentes e até fornece orientação sobre a migração de OSSEC para Wazuh. Embora o OSSEC ainda tenha suporte ativo, o Wazuh é visto como uma continuação do OSSEC devido à adição de uma nova interface web, API REST, um conjunto de regras mais completo e muitas outras melhorias.
Vantagens
- Baseado e compatível com o popular SIEM OSSEC;
- Suporta várias opções de instalação: Docker, Puppet, Chef, Ansible;
- Suporta monitoramento de serviços em nuvem, incluindo AWS e Azure;
- Inclui um conjunto abrangente de regras para detectar vários tipos de ataques e permite compará-los de acordo com PCI DSS v3.1 e CIS.
- Integra-se ao sistema de armazenamento e análise de logs do Splunk para visualização de eventos e suporte de API.
Contras:
- Arquitetura complexa – requer uma implantação completa do Elastic Stack, além dos componentes de back-end do Wazuh.
Prelúdio do sistema operacional
Prelude OSS é uma versão open source do comercial Prelude SIEM, desenvolvido pela empresa francesa CS. A solução é um sistema SIEM modular e flexível que suporta vários formatos de log, integração com ferramentas de terceiros, como OSSEC, Snort e o sistema de detecção de rede Suricata.
Cada evento é normalizado em uma mensagem utilizando o formato IDMEF, o que simplifica a troca de dados com outros sistemas. Mas há um problema - o Prelude OSS é muito limitado em desempenho e funcionalidade em comparação com a versão comercial do Prelude SIEM e é mais voltado para pequenos projetos ou para estudar soluções SIEM e avaliar o Prelude SIEM.
Vantagens
- Sistema testado pelo tempo, desenvolvido desde 1998;
- Suporta muitos formatos de log diferentes;
- Normaliza os dados para o formato IMDEF, facilitando a transferência de dados para outros sistemas de segurança.
Contras:
- Significativamente limitado em funcionalidade e desempenho em comparação com outros sistemas SIEM de código aberto.
Sagan
Sagan é um SIEM de alto desempenho que enfatiza a compatibilidade com o Snort. Além de suportar regras escritas para o Snort, Sagan pode gravar no banco de dados do Snort e até mesmo ser usado com a interface Shuil. Essencialmente, é uma solução multithread leve que oferece novos recursos enquanto permanece amigável para os usuários do Snort.
Vantagens
- Totalmente compatível com banco de dados, regras e interface de usuário do Snort;
- A arquitetura multithread oferece alto desempenho.
Contras:
- Um projeto relativamente jovem com uma comunidade pequena;
- Um processo de instalação complexo que envolve a construção de todo o SIEM a partir da origem.
Conclusão
Cada um dos sistemas SIEM descritos possui características e limitações próprias, portanto não podem ser considerados uma solução universal para nenhuma organização. No entanto, estas soluções são de código aberto, permitindo que sejam implementadas, testadas e avaliadas sem incorrer em custos excessivos.
O que mais interessante você pode ler no blog?
→
→
→
→
→
Assine o nosso -channel para não perder o próximo artigo! Escrevemos no máximo duas vezes por semana e apenas a negócios.
Fonte: habr.com