Ako sa líši dobrý špecialista na IT bezpečnosť od bežného? Nie, nie tým, že kedykoľvek vie naspamäť pomenovať množstvo správ, ktoré včera poslal manažér Igor svojej kolegyni Márii. Dobrý bezpečnostný špecialista sa snaží vopred identifikovať možné porušenia a zachytiť ich v reálnom čase, pričom vynakladá maximálne úsilie na to, aby incident nepokračoval. Systémy správy bezpečnostných udalostí (SIEM, z bezpečnostných informácií a správy udalostí) výrazne zjednodušujú úlohu rýchleho zaznamenávania a blokovania akýchkoľvek pokusov o narušenie.
Systémy SIEM tradične kombinujú systém riadenia informačnej bezpečnosti a systém riadenia bezpečnostných udalostí. Dôležitou vlastnosťou systémov je analýza bezpečnostných udalostí v reálnom čase, čo umožňuje reagovať na ne skôr, než dôjde k existujúcej škode.
Hlavné úlohy systémov SIEM:
- Zber a normalizácia údajov
- Korelácia údajov
- Upozornenie
- Vizualizačné panely
- Organizácia ukladania údajov
- Vyhľadávanie a analýza údajov
- Podávanie správ
Dôvody vysokého dopytu po systémoch SIEM
V poslednom období veľmi narástla zložitosť a koordinácia útokov na informačné systémy. Zároveň sa stáva komplexnejší aj komplex používaných nástrojov informačnej bezpečnosti – sieťové a hostiteľské systémy na detekciu narušenia, systémy DLP, antivírusové systémy a firewally, skenery zraniteľnosti atď. Každý bezpečnostný nástroj generuje prúd udalostí s rôznymi úrovňami podrobností a útok je často možné vidieť iba prekrývajúcimi sa udalosťami z rôznych systémov.
Je toho veľa o všetkých druhoch komerčných systémov SIEM , no ponúkame stručný prehľad bezplatných, plnohodnotných open source SIEM systémov, ktoré nemajú umelé obmedzenia na počet používateľov či objem akceptovaných uložených dát a navyše sú jednoducho škálovateľné a podporované. Dúfame, že to pomôže posúdiť potenciál takýchto systémov a rozhodnúť, či sa takéto riešenia oplatí integrovať do podnikových procesov spoločnosti.
AlienVault OSSIM
AlienVault OSSIM je open-source verzia AlienVault USM, jedného z popredných komerčných systémov SIEM. OSSIM je rámec pozostávajúci z niekoľkých projektov s otvoreným zdrojovým kódom, vrátane systému detekcie narušenia siete Snort, systému monitorovania siete a hostiteľa Nagios, systému detekcie narušenia založeného na hostiteľovi OSSEC a skenera zraniteľnosti OpenVAS.
Na monitorovanie zariadení sa používa AlienVault Agent, ktorý posiela logy z hostiteľa vo formáte syslog na platformu GELF, alebo je možné použiť plugin na integráciu so službami tretích strán, ako je služba reverzného proxy webu Cloudflare alebo Okta multi -faktorový autentifikačný systém.
Verzia USM sa líši od OSSIM vylepšenými funkciami pre správu protokolov, monitorovanie cloudovej infraštruktúry, automatizáciu a aktualizované informácie o hrozbách a vizualizáciu.
Výhody
- Postavené na osvedčených open-source projektoch;
- Veľká komunita používateľov a vývojárov.
Obmedzenie
- Nepodporuje monitorovanie cloudových platforiem (napríklad AWS alebo Azure);
- Neexistuje žiadna správa protokolov, vizualizácia, automatizácia ani integrácia so službami tretích strán.
MozDef (platforma Mozilla Defense)
Systém MozDef SIEM vyvinutý spoločnosťou Mozilla sa používa na automatizáciu procesov spracovania bezpečnostných incidentov. Systém je od základov navrhnutý tak, aby dosahoval maximálny výkon, škálovateľnosť a odolnosť voči chybám, s architektúrou mikroslužieb – každá služba beží v kontajneri Docker.
Rovnako ako OSSIM, aj MozDef je postavený na rokmi overených open source projektoch, vrátane modulu indexovania a vyhľadávania protokolov Elasticsearch, platformy Meteor na vytvorenie flexibilného webového rozhrania a doplnku Kibana na vizualizáciu a vykresľovanie.
Korelácia udalostí a upozornenia sa vykonávajú pomocou dotazov Elasticsearch, čo vám umožňuje napísať si vlastné pravidlá spracovania udalostí a upozornenia pomocou Pythonu. Podľa Mozilly dokáže MozDef spracovať viac ako 300 miliónov udalostí denne. MozDef akceptuje iba udalosti vo formáte JSON, ale existuje integrácia so službami tretích strán.
Výhody
- Nepoužíva agentov – pracuje so štandardnými protokolmi JSON;
- Jednoduché škálovanie vďaka architektúre mikroservisov;
- Podporuje zdroje údajov cloudových služieb vrátane AWS CloudTrail a GuardDuty.
Obmedzenie
- Nový a menej zavedený systém.
Wazuh
Wazuh sa začal vyvíjať ako vidlica OSSEC, jedného z najpopulárnejších open source SIEM. A teraz je to jeho vlastné jedinečné riešenie s novou funkcionalitou, opravami chýb a optimalizovanou architektúrou.
Systém je postavený na zásobníku ElasticStack (Elasticsearch, Logstash, Kibana) a podporuje zber údajov na základe agentov aj príjem systémových protokolov. Vďaka tomu je efektívny pre monitorovacie zariadenia, ktoré generujú protokoly, ale nepodporujú inštaláciu agentov – sieťové zariadenia, tlačiarne a periférne zariadenia.
Wazuh podporuje existujúcich agentov OSSEC a dokonca poskytuje návod na migráciu z OSSEC na Wazuh. Hoci OSSEC je stále aktívne podporovaný, Wazuh je vnímaný ako pokračovanie OSSEC vďaka pridaniu nového webového rozhrania, REST API, kompletnejšieho súboru pravidiel a mnohých ďalších vylepšení.
Výhody
- Založené a kompatibilné s populárnym SIEM OSSEC;
- Podporuje rôzne možnosti inštalácie: Docker, Puppet, Chef, Ansible;
- Podporuje monitorovanie cloudových služieb vrátane AWS a Azure;
- Zahŕňa komplexný súbor pravidiel na detekciu viacerých typov útokov a umožňuje vám ich porovnávať v súlade s PCI DSS v3.1 a CIS.
- Integruje sa so systémom ukladania a analýzy protokolov Splunk pre vizualizáciu udalostí a podporu API.
Obmedzenie
- Komplexná architektúra – vyžaduje okrem backendových komponentov Wazuh aj úplné nasadenie Elastic Stack.
Prelude OS
Prelude OSS je open-source verzia komerčného Prelude SIEM vyvinutá francúzskou spoločnosťou CS. Riešením je flexibilný, modulárny systém SIEM, ktorý podporuje viaceré formáty protokolov, integráciu s nástrojmi tretích strán, ako sú OSSEC, Snort a sieťový detekčný systém Suricata.
Každá udalosť je normalizovaná do správy pomocou formátu IDMEF, čo zjednodušuje výmenu údajov s inými systémami. Ale je tu mucha - Prelude OSS je v porovnaní s komerčnou verziou Prelude SIEM veľmi obmedzený vo výkone a funkčnosti a je určený skôr pre malé projekty alebo na štúdium SIEM riešení a hodnotenie Prelude SIEM.
Výhody
- Časom overený systém, vyvinutý od roku 1998;
- Podporuje mnoho rôznych formátov denníkov;
- Normalizuje údaje do formátu IMDEF, čím uľahčuje prenos údajov do iných bezpečnostných systémov.
Obmedzenie
- Výrazne obmedzená funkčnosť a výkon v porovnaní s inými open-source SIEM systémami.
sagan
Sagan je vysoko výkonný SIEM, ktorý kladie dôraz na kompatibilitu so Snortom. Okrem podpory pravidiel napísaných pre Snort môže Sagan zapisovať do databázy Snort a môže byť dokonca použitý s rozhraním Shuil. V podstate ide o ľahké viacvláknové riešenie, ktoré ponúka nové funkcie a zároveň zostáva priateľské pre používateľov Snort.
Výhody
- Plne kompatibilný s databázou Snort, pravidlami a používateľským rozhraním;
- Viacvláknová architektúra poskytuje vysoký výkon.
Obmedzenie
- Relatívne mladý projekt s malou komunitou;
- Komplexný inštalačný proces, ktorý zahŕňa vytvorenie celého SIEM od zdroja.
Záver
Každý z popísaných systémov SIEM má svoje vlastné charakteristiky a obmedzenia, preto ich nemožno nazvať univerzálnym riešením pre akúkoľvek organizáciu. Tieto riešenia sú však open source, čo umožňuje ich nasadenie, testovanie a hodnotenie bez nadmerných nákladov.
Čo zaujímavé si môžete prečítať na blogu?
→
→
→
→
→
Prihláste sa na odber -kanál, aby ste nezmeškali ďalší článok! Píšeme si maximálne dvakrát do týždňa a len služobne.
Zdroj: hab.com