ڪيئن هڪ سٺو آئي ٽي سيڪيورٽي ماهر هڪ عام کان مختلف آهي؟ نه، حقيقت اها آهي ته ڪنهن به وقت هن کي يادگيري کان پيغامن جي تعداد جو نالو ڏئي سگهي ٿو جيڪو مئنيجر ايگور ڪالهه پنهنجي ساٿي ماريا ڏانهن موڪليو. هڪ سٺو سيڪيورٽي ماهر اڳ ۾ ئي ممڪن خلاف ورزين جي نشاندهي ڪرڻ جي ڪوشش ڪري ٿو ۽ انهن کي حقيقي وقت ۾ پڪڙڻ جي ڪوشش ڪري ٿو، انهي کي يقيني بڻائڻ جي هر ممڪن ڪوشش ڪري ٿو ته واقعي جاري نه رهي. سيڪيورٽي ايونٽ مئنيجمينٽ سسٽم (SIEM، سيڪيورٽي انفارميشن ۽ ايونٽ مئنيجمينٽ کان) ڪنهن به ڪوشش جي خلاف ورزي کي جلدي رڪارڊ ڪرڻ ۽ بلاڪ ڪرڻ جي ڪم کي تمام گهڻو آسان بڻائي ٿو.
روايتي طور تي، SIEM سسٽم هڪ معلوماتي سيڪيورٽي مينيجمينٽ سسٽم ۽ سيڪيورٽي ايونٽ مينيجمينٽ سسٽم کي گڏ ڪن ٿا. سسٽم جي هڪ اهم خصوصيت حقيقي وقت ۾ سيڪيورٽي واقعن جو تجزيو آهي، جيڪو توهان کي موجوده نقصان ٿيڻ کان اڳ انهن کي جواب ڏيڻ جي اجازت ڏئي ٿو.
SIEM سسٽم جا مکيه ڪم:
- ڊيٽا گڏ ڪرڻ ۽ عام ڪرڻ
- ڊيٽا رابطي
- خبردار
- بصري پينل
- ڊيٽا اسٽوريج جي تنظيم
- ڊيٽا جي ڳولا ۽ تجزيو
- رپورٽ ڪرڻ
SIEM سسٽم لاء اعلي مطالبن جا سبب
تازو، انفارميشن سسٽم تي حملن جي پيچيدگي ۽ تعاون تمام گهڻو وڌي چڪو آهي. ساڳئي وقت، استعمال ٿيل معلومات جي حفاظتي اوزارن جو پيچيده پڻ وڌيڪ پيچيده ٿي رهيو آهي- نيٽ ورڪ ۽ ميزبان تي ٻڌل مداخلت ڳولڻ وارو نظام، ڊي ايل پي سسٽم، اينٽي وائرس سسٽم ۽ فائر والز، خطراتي اسڪينر، وغيره. هر حفاظتي اوزار مختلف سطحن جي تفصيل سان واقعن جو هڪ وهڪرو ٺاهي ٿو، ۽ اڪثر ڪري هڪ حملو صرف مختلف سسٽم جي واقعن کي اوورليپ ڪندي ڏسي سگهجي ٿو.
تجارتي SIEM سسٽم جي سڀني قسمن جي باري ۾ تمام گهڻو آهي ، پر اسان پيش ڪريون ٿا مفت، مڪمل اوپن سورس SIEM سسٽم جو مختصر جائزو جيڪي صارفين جي تعداد يا قبول ٿيل ذخيرو ٿيل ڊيٽا جي مقدار تي مصنوعي پابنديون نه آهن، ۽ پڻ آساني سان اسپيبل ۽ سپورٽ آهن. اسان کي اميد آهي ته هي اهڙين سسٽم جي صلاحيت جو جائزو وٺڻ ۾ مدد ڪندو ۽ فيصلو ڪندو ته ڇا اهڙا حل ڪمپني جي ڪاروباري عملن ۾ ضم ٿيڻ جي قابل آهن.
AlienVault OSSIM
AlienVault OSSIM AlienVault USM جو هڪ کليل ذريعو نسخو آهي، هڪ معروف تجارتي SIEM سسٽم مان هڪ آهي. OSSIM هڪ فريم ورڪ آهي جنهن ۾ ڪيترن ئي اوپن سورس پروجيڪٽ شامل آهن، جن ۾ Snort نيٽ ورڪ جي مداخلت جو پتو لڳائڻ وارو نظام، Nagios نيٽ ورڪ ۽ ميزبان مانيٽرنگ سسٽم، OSSEC ميزبان تي ٻڌل مداخلت جو پتو لڳائڻ وارو نظام، ۽ OpenVAS vulnerability scanner شامل آهن.
ڊوائيسز جي نگراني ڪرڻ لاء، AlienVault ايجنٽ استعمال ڪيو ويندو آهي، جيڪو ميزبان کان لاگ ان syslog فارميٽ ۾ GELF پليٽ فارم تي موڪليندو آهي، يا هڪ پلگ ان ٽئين پارٽي جي خدمتن سان گڏ انضمام لاء استعمال ڪري سگهجي ٿو، جهڙوڪ Cloudflare ويب سائيٽ ريورس پراکسي سروس يا Okta multi - عنصر جي تصديق جو نظام.
يو ايس ايم ورزن لاگ مئنيجمينٽ، ڪلائوڊ انفراسٽرڪچر مانيٽرنگ، آٽوميشن، ۽ تازه ڪاري خطري جي معلومات ۽ ويزولائيزيشن لاءِ بهتر ڪارڪردگي سان OSSIM کان مختلف آهي.
فائدن
- ثابت ٿيل اوپن سورس منصوبن تي ٺهيل؛
- صارفين ۽ ڊولپرز جي وڏي برادري.
shortcomings
- ڪلائوڊ پليٽ فارمن جي نگراني جي حمايت نه ڪندو آهي (مثال طور، AWS يا Azure)؛
- ڪو به لاگ انتظام، بصري، خودڪار يا ٽئين پارٽي جي خدمتن سان انضمام ناهي.
MozDef (موزيلا دفاعي پليٽ فارم)
MozDef SIEM سسٽم Mozilla پاران تيار ڪيل سيڪيورٽي واقعن جي پروسيسنگ پروسيسنگ کي خودڪار ڪرڻ لاء استعمال ڪيو ويندو آهي. سسٽم کي گرائونڊ کان ٺاهيو ويو آهي وڌ ۾ وڌ ڪارڪردگي، اسڪيبلبلٽي ۽ غلطي رواداري حاصل ڪرڻ لاءِ، مائڪرو سروس آرڪيٽيڪچر سان - هر سروس ڊڪر ڪنٽينر ۾ هلندي آهي.
OSSIM وانگر، MozDef وقت جي آزمائشي اوپن سورس پروجيڪٽ تي ٺهيل آهي، جنهن ۾ Elasticsearch لاگ انڊيڪسنگ ۽ سرچ ماڊل شامل آهن، Meteor پليٽ فارم لچڪدار ويب انٽرفيس ٺاهڻ لاءِ، ۽ Kibana پلگ ان ڏسڻ ۽ پلاٽ ڪرڻ لاءِ.
ايونٽ جو رابطا ۽ خبرداري Elasticsearch سوالن جي استعمال سان ڪئي ويندي آهي، جيڪا توهان کي اجازت ڏئي ٿي توهان جي پنهنجي ايونٽ پروسيسنگ ۽ خبرداري جا قاعدا Python استعمال ڪندي. Mozilla جي مطابق، MozDef هر روز 300 ملين کان وڌيڪ واقعن تي عمل ڪري سگهي ٿو. MozDef صرف JSON فارميٽ ۾ واقعن کي قبول ڪري ٿو، پر ٽئين پارٽي جي خدمتن سان انضمام آهي.
فائدن
- ايجنٽ استعمال نٿو ڪري - معياري JSON لاگن سان ڪم ڪري ٿو؛
- آساني سان ماپ ڪري ٿو microservice فن تعمير جي مهرباني؛
- AWS CloudTrail ۽ GuardDuty سميت ڪلائوڊ سروس ڊيٽا ذريعن کي سپورٽ ڪري ٿو.
shortcomings
- نئون ۽ گهٽ قائم ڪيل نظام.
وازوه
Wazuh او ايس ايس اي سي جي هڪ ڪانٽو جي طور تي ترقي شروع ڪئي، هڪ مشهور اوپن سورس SIEMs مان هڪ آهي. ۽ ھاڻي اھو پنھنجو منفرد حل آھي نئين ڪارڪردگي، بگ فيڪس ۽ اصلاحي فن تعمير سان.
سسٽم ElasticStack اسٽيڪ (Elasticsearch، Logstash، Kibana) تي ٺهيل آهي ۽ ايجنٽ تي ٻڌل ڊيٽا گڏ ڪرڻ ۽ سسٽم لاگ انجڻ ٻنهي کي سپورٽ ڪري ٿو. اهو ان کي موثر بڻائي ٿو نگراني ڊوائيسز لاءِ جيڪي لاگ ٺاهي رهيا آهن پر ايجنٽ جي انسٽاليشن کي سپورٽ نٿا ڪن - نيٽ ورڪ ڊوائيسز، پرنٽر ۽ پردي.
Wazuh موجوده OSSEC ايجنٽن جي مدد ڪري ٿو ۽ OSSEC کان Wazuh ڏانهن لڏپلاڻ لاءِ پڻ رهنمائي فراهم ڪري ٿو. جيتوڻيڪ OSSEC اڃا تائين فعال طور تي سپورٽ ڪئي وئي آهي، Wazuh کي OSSEC جي تسلسل طور ڏٺو وڃي ٿو ڇاڪاڻ ته نئين ويب انٽرفيس، REST API، ضابطن جو هڪ وڌيڪ مڪمل سيٽ، ۽ ٻيون ڪيتريون ئي بهتري شامل آهن.
فائدن
- جي بنياد تي ۽ مشهور SIEM OSSEC سان مطابقت؛
- انسٽاليشن جي مختلف اختيارن کي سپورٽ ڪري ٿو: ڊاکر، پپيٽ، شيف، جوابي؛
- ڪلائوڊ سروسز جي نگراني کي سپورٽ ڪري ٿو، بشمول AWS ۽ Azure؛
- ڪيترن ئي قسمن جي حملن کي ڳولڻ لاءِ ضابطن جو هڪ جامع سيٽ شامل آهي ۽ توهان کي PCI DSS v3.1 ۽ CIS جي مطابق انهن جو مقابلو ڪرڻ جي اجازت ڏئي ٿو.
- Splunk لاگ اسٽوريج ۽ تجزياتي سسٽم سان ضم ٿي واقعا بصري ۽ API سپورٽ لاءِ.
shortcomings
- ڪمپليڪس آرڪيٽيڪچر - وضو پس منظر جي اجزاء کان علاوه هڪ مڪمل لچڪدار اسٽيڪ جي جوڙجڪ جي ضرورت آهي.
اڳيون OS
Prelude OSS تجارتي Prelude SIEM جو هڪ اوپن سورس ورزن آهي، جيڪو فرانسيسي ڪمپني CS پاران تيار ڪيو ويو آهي. حل هڪ لچڪدار، ماڊلر SIEM سسٽم آهي جيڪو ڪيترن ئي لاگ فارميٽس کي سپورٽ ڪري ٿو، ٽئين پارٽي جي اوزار سان انضمام جهڙوڪ OSSEC، Snort ۽ Suricata نيٽ ورڪ ڳولڻ وارو نظام.
هر واقعي کي IDMEF فارميٽ استعمال ڪندي پيغام ۾ عام ڪيو ويو آهي، جيڪو ٻين سسٽم سان ڊيٽا جي مٽاسٽا کي آسان بڻائي ٿو. پر عطر ۾ هڪ مک آهي - Prelude SIEM جي تجارتي ورزن جي مقابلي ۾ Prelude OSS ڪارڪردگي ۽ ڪارڪردگيءَ ۾ تمام محدود آهي، ۽ ننڍي منصوبن لاءِ يا SIEM حل جي مطالعي ۽ Prelude SIEM جو جائزو وٺڻ لاءِ وڌيڪ آهي.
فائدن
- وقت جي آزمائشي نظام، 1998 کان ترقي يافته؛
- ڪيترن ئي مختلف لاگ فارميٽ کي سپورٽ ڪري ٿو؛
- IMDEF فارميٽ ۾ ڊيٽا کي عام ڪري ٿو، ٻين سيڪيورٽي سسٽم ڏانهن ڊيٽا کي منتقل ڪرڻ آسان بڻائي ٿو.
shortcomings
- خاص طور تي محدود ڪارڪردگي ۽ ڪارڪردگي ۾ ٻين اوپن سورس SIEM سسٽم جي مقابلي ۾.
سيگن
ساگن هڪ اعلي ڪارڪردگي SIEM آهي جيڪو Snort سان مطابقت تي زور ڏئي ٿو. Snort لاءِ لکيل ضابطن جي حمايت ڪرڻ کان علاوه، Sagan Snort ڊيٽابيس تي لکي سگھي ٿو ۽ ان کي Shuil انٽرفيس سان به استعمال ڪري سگھجي ٿو. لازمي طور تي، اهو هڪ ٿلهي وزن وارو ملٽي ٿريڊ حل آهي جيڪو نوان خاصيتون پيش ڪري ٿو جڏهن ته Snort استعمال ڪندڙن لاءِ دوستانه رهي ٿو.
فائدن
- Snort ڊيٽابيس، ضابطن، ۽ يوزر انٽرفيس سان مڪمل طور تي مطابقت؛
- ملٽي موضوع وارو فن تعمير اعلي ڪارڪردگي فراهم ڪري ٿو.
shortcomings
- هڪ ننڍي برادري سان نسبتا نوجوان منصوبو؛
- هڪ پيچيده تنصيب وارو عمل جنهن ۾ شامل آهي پوري SIEM کي ماخذ کان تعمير ڪرڻ.
ٿڪل
بيان ڪيل SIEM سسٽم مان هر هڪ پنهنجون خاصيتون ۽ حدون آهن، تنهنڪري انهن کي ڪنهن به تنظيم لاء عالمگير حل نه ٿو چئي سگهجي. جڏهن ته، اهي حل کليل ذريعو آهن، انهن کي ترتيب ڏيڻ، جانچڻ، ۽ جائزو وٺڻ جي اجازت ڏئي ٿو بغير بغير خرچ ڪرڻ جي.
ٻيو ڪهڙو دلچسپ توهان بلاگ تي پڙهي سگهو ٿا؟
→
→
→
→
→
اسان جي رڪنيت حاصل ڪريو -چينل، جيئن ته ايندڙ مضمون کي نه وڃايو! اسان هفتي ۾ ٻه ڀيرا وڌيڪ نه لکندا آهيون ۽ صرف ڪاروبار تي.
جو ذريعو: www.habr.com