Cum diferă un bun specialist în securitate IT de unul obișnuit? Nu, nu prin faptul că la un moment dat poate numi din memorie numărul de mesaje pe care managerul Igor le-a transmis ieri colegei sale Maria. Un bun specialist în securitate încearcă să identifice posibilele încălcări din timp și să le surprindă în timp real, depunând toate eforturile pentru a se asigura că incidentul nu va continua. Sistemele de management al evenimentelor de securitate (SIEM, de la Security information and event management) simplifică foarte mult sarcina de înregistrare și blocare rapidă a oricăror încercări de încălcare.
În mod tradițional, sistemele SIEM combină un sistem de management al securității informațiilor și un sistem de management al evenimentelor de securitate. O caracteristică importantă a sistemelor este analiza evenimentelor de securitate în timp real, ceea ce vă permite să răspundeți la acestea înainte de apariția daunelor existente.
Sarcinile principale ale sistemelor SIEM:
- Colectarea și normalizarea datelor
- Corelarea datelor
- Alerta
- Panouri de vizualizare
- Organizarea stocării datelor
- Căutarea și analiza datelor
- Raportarea
Motive pentru cererea mare de sisteme SIEM
Recent, complexitatea și coordonarea atacurilor asupra sistemelor informaționale a crescut foarte mult. În același timp, complexul de instrumente de securitate a informațiilor utilizate devine, de asemenea, din ce în ce mai complex – sisteme de detectare a intruziunilor bazate pe rețea și gazdă, sisteme DLP, sisteme și firewall-uri antivirus, scanere de vulnerabilități etc. Fiecare instrument de securitate generează un flux de evenimente cu diferite niveluri de detaliu și adesea un atac poate fi văzut doar prin suprapunerea evenimentelor din sisteme diferite.
Există multe despre toate tipurile de sisteme SIEM comerciale , dar oferim o scurtă prezentare generală a sistemelor SIEM cu sursă deschisă, gratuite, cu drepturi depline, care nu au restricții artificiale privind numărul de utilizatori sau volumul de date stocate acceptate și sunt, de asemenea, ușor scalabile și acceptate. Sperăm că acest lucru va ajuta la evaluarea potențialului unor astfel de sisteme și să decidem dacă astfel de soluții merită să fie integrate în procesele de afaceri ale companiei.
AlienVault OSSIM
AlienVault OSSIM este o versiune open-source a AlienVault USM, unul dintre cele mai importante sisteme SIEM comerciale. OSSIM este un cadru format din mai multe proiecte open source, inclusiv sistemul de detectare a intruziunilor în rețea Snort, sistemul de monitorizare a rețelei Nagios și a gazdei, sistemul de detectare a intruziunilor bazat pe gazdă OSSEC și scanerul de vulnerabilități OpenVAS.
Pentru a monitoriza dispozitivele, este utilizat Agentul AlienVault, care trimite jurnalele de la gazdă în format syslog către platforma GELF, sau un plugin poate fi utilizat pentru integrarea cu servicii terțe, cum ar fi serviciul de proxy invers al site-ului Cloudflare sau Okta multi -sistem de autentificare a factorilor.
Versiunea USM diferă de OSSIM cu funcționalități îmbunătățite pentru gestionarea jurnalelor, monitorizarea infrastructurii cloud, automatizare și informații actualizate despre amenințări și vizualizare.
Avantaje
- Construit pe proiecte open-source dovedite;
- Comunitate mare de utilizatori și dezvoltatori.
Limitări
- Nu acceptă monitorizarea platformelor cloud (de exemplu, AWS sau Azure);
- Nu există management de jurnal, vizualizare, automatizare sau integrare cu servicii terțe.
MozDef (platforma de apărare Mozilla)
Sistemul MozDef SIEM dezvoltat de Mozilla este folosit pentru a automatiza procesele de procesare a incidentelor de securitate. Sistemul este proiectat de la zero pentru a obține performanță maximă, scalabilitate și toleranță la erori, cu o arhitectură de microservicii - fiecare serviciu rulează într-un container Docker.
La fel ca OSSIM, MozDef este construit pe proiecte open source testate în timp, inclusiv modulul de indexare și căutare a jurnalelor Elasticsearch, platforma Meteor pentru construirea unei interfețe web flexibile și pluginul Kibana pentru vizualizare și reprezentare grafică.
Corelarea evenimentelor și alertele sunt efectuate folosind interogări Elasticsearch, care vă permite să scrieți propriile reguli de procesare a evenimentelor și alerte folosind Python. Potrivit Mozilla, MozDef poate procesa peste 300 de milioane de evenimente pe zi. MozDef acceptă doar evenimente în format JSON, dar există integrare cu servicii terțe.
Avantaje
- Nu folosește agenți - funcționează cu jurnalele JSON standard;
- Se scala cu ușurință datorită arhitecturii microservicii;
- Acceptă surse de date ale serviciului cloud, inclusiv AWS CloudTrail și GuardDuty.
Limitări
- Sistem nou și mai puțin stabilit.
Wazuh
Wazuh a început dezvoltarea ca o furcă a OSSEC, unul dintre cele mai populare SIEM-uri open source. Și acum este propria sa soluție unică, cu funcționalități noi, remedieri de erori și arhitectură optimizată.
Sistemul este construit pe stiva ElasticStack (Elasticsearch, Logstash, Kibana) și acceptă atât colectarea de date bazată pe agenți, cât și ingerarea jurnalelor de sistem. Acest lucru îl face eficient pentru monitorizarea dispozitivelor care generează jurnalele, dar nu acceptă instalarea agentului - dispozitive de rețea, imprimante și periferice.
Wazuh sprijină agenții OSSEC existenți și chiar oferă îndrumări privind migrarea de la OSSEC la Wazuh. Deși OSSEC este încă acceptat activ, Wazuh este văzut ca o continuare a OSSEC datorită adăugării unei noi interfețe web, a API-ului REST, a unui set mai complet de reguli și a multor alte îmbunătățiri.
Avantaje
- Bazat pe și compatibil cu popularul SIEM OSSEC;
- Suporta diverse optiuni de instalare: Docker, Puppet, Chef, Ansible;
- Acceptă monitorizarea serviciilor cloud, inclusiv AWS și Azure;
- Include un set cuprinzător de reguli pentru a detecta mai multe tipuri de atacuri și vă permite să le comparați în conformitate cu PCI DSS v3.1 și CIS.
- Se integrează cu sistemul de stocare și analiză a jurnalelor Splunk pentru vizualizarea evenimentelor și suport API.
Limitări
- Arhitectură complexă - necesită o implementare completă Elastic Stack pe lângă componentele de backend Wazuh.
Prelude OS
Prelude OSS este o versiune open-source a comercialului Prelude SIEM, dezvoltată de compania franceză CS. Soluția este un sistem SIEM flexibil, modular, care acceptă mai multe formate de jurnal, integrarea cu instrumente terțe, cum ar fi OSSEC, Snort și sistemul de detectare a rețelei Suricata.
Fiecare eveniment este normalizat într-un mesaj folosind formatul IDMEF, care simplifică schimbul de date cu alte sisteme. Dar există o muscă în unguent - Prelude OSS este foarte limitat în performanță și funcționalitate în comparație cu versiunea comercială a Prelude SIEM și este destinat mai mult pentru proiecte mici sau pentru studiul soluțiilor SIEM și evaluarea Prelude SIEM.
Avantaje
- Sistem testat în timp, dezvoltat din 1998;
- Suporta multe formate diferite de jurnal;
- Normalizează datele în format IMDEF, facilitând transferul datelor către alte sisteme de securitate.
Limitări
- Limitat semnificativ în funcționalitate și performanță în comparație cu alte sisteme SIEM open-source.
sagan
Sagan este un SIEM de înaltă performanță care pune accent pe compatibilitatea cu Snort. Pe lângă suportul regulilor scrise pentru Snort, Sagan poate scrie în baza de date Snort și poate fi chiar folosit cu interfața Shuil. În esență, este o soluție ușoară cu mai multe fire care oferă noi funcții, rămânând în același timp prietenoasă pentru utilizatorii Snort.
Avantaje
- Complet compatibil cu baza de date Snort, reguli și interfață cu utilizatorul;
- Arhitectura multi-threaded oferă performanțe ridicate.
Limitări
- Un proiect relativ tânăr cu o comunitate mică;
- Un proces complex de instalare care presupune construirea întregului SIEM de la sursă.
Concluzie
Fiecare dintre sistemele SIEM descrise are propriile caracteristici și limitări, așa că nu pot fi numite o soluție universală pentru nicio organizație. Cu toate acestea, aceste soluții sunt open source, permițându-le să fie implementate, testate și evaluate fără a suporta costuri excesive.
Ce altceva interesant poți citi pe blog?
→
→
→
→
→
Abonați-vă la -canal pentru a nu rata următorul articol! Scriem nu mai mult de două ori pe săptămână și numai pentru afaceri.
Sursa: www.habr.com