ProHoster > Blog > administratë > 5 sisteme të menaxhimit të ngjarjeve të sigurisë me burim të hapur

5 sisteme të menaxhimit të ngjarjeve të sigurisë me burim të hapur

5 sisteme të menaxhimit të ngjarjeve të sigurisë me burim të hapur

Si ndryshon një specialist i mirë i sigurisë IT nga një i zakonshëm? Jo, jo për faktin se në çdo moment ai mund të emërojë nga kujtesa numrin e mesazheve që menaxheri Igor i dërgoi dje koleges së tij Maria. Një specialist i mirë i sigurisë përpiqet të identifikojë paraprakisht shkeljet e mundshme dhe t'i kapë ato në kohë reale, duke bërë çdo përpjekje për të siguruar që incidenti të mos vazhdojë. Sistemet e menaxhimit të ngjarjeve të sigurisë (SIEM, nga informacioni i sigurisë dhe menaxhimi i ngjarjeve) thjeshtojnë shumë detyrën e regjistrimit dhe bllokimit të shpejtë të çdo shkeljeje të tentuar.

Tradicionalisht, sistemet SIEM kombinojnë një sistem të menaxhimit të sigurisë së informacionit dhe një sistem të menaxhimit të ngjarjeve të sigurisë. Një tipar i rëndësishëm i sistemeve është analiza e ngjarjeve të sigurisë në kohë reale, e cila ju lejon t'u përgjigjeni atyre përpara se të ndodhë dëmtimi ekzistues.

Detyrat kryesore të sistemeve SIEM:

  • Mbledhja dhe normalizimi i të dhënave
  • Korrelacioni i të dhënave
  • Alert
  • Panelet e vizualizimit
  • Organizimi i ruajtjes së të dhënave
  • Kërkimi dhe analiza e të dhënave
  • Raportimi

Arsyet për kërkesën e lartë për sistemet SIEM

Kohët e fundit, kompleksiteti dhe koordinimi i sulmeve ndaj sistemeve të informacionit është rritur shumë. Në të njëjtën kohë, kompleksi i mjeteve të sigurisë së informacionit të përdorur po bëhet gjithashtu më kompleks - sistemet e zbulimit të ndërhyrjeve të bazuara në rrjet dhe host, sistemet DLP, sistemet antivirus dhe muret e zjarrit, skanuesit e cenueshmërisë, etj. Çdo mjet sigurie gjeneron një rrjedhë ngjarjesh me nivele të ndryshme detajesh dhe shpesh një sulm mund të shihet vetëm duke mbivendosur ngjarje nga sisteme të ndryshme.

Ka shumë për të gjitha llojet e sistemeve komerciale SIEM e shkruar, por ne ofrojmë një përmbledhje të shkurtër të sistemeve SIEM me burim të hapur pa pagesë dhe të plotë që nuk kanë kufizime artificiale në numrin e përdoruesve ose vëllimin e të dhënave të ruajtura të pranuara, dhe gjithashtu janë lehtësisht të shkallëzueshme dhe të mbështetura. Shpresojmë që kjo të ndihmojë në vlerësimin e potencialit të sistemeve të tilla dhe të vendosë nëse zgjidhje të tilla ia vlen të integrohen në proceset e biznesit të kompanisë.

AlienVault OSSIM

5 sisteme të menaxhimit të ngjarjeve të sigurisë me burim të hapur

AlienVault OSSIM është një version me burim të hapur i AlienVault USM, një nga sistemet kryesore komerciale SIEM. OSSIM është një kornizë e përbërë nga disa projekte me burim të hapur, duke përfshirë sistemin e zbulimit të ndërhyrjeve në rrjetin Snort, sistemin e monitorimit të rrjetit dhe hostit Nagios, sistemin e zbulimit të ndërhyrjeve të bazuar në host OSSEC dhe skanerin e cenueshmërisë OpenVAS.

Për të monitoruar pajisjet, përdoret AlienVault Agent, i cili dërgon regjistrat nga hosti në formatin syslog në platformën GELF, ose mund të përdoret një shtojcë për integrimin me shërbimet e palëve të treta, siç është shërbimi i përfaqësuesit të kundërt të faqes në internet Cloudflare ose Okta multi. -sistemi i vërtetimit të faktorëve.

Versioni USM ndryshon nga OSSIM me funksionalitet të përmirësuar për menaxhimin e regjistrave, monitorimin e infrastrukturës cloud, automatizimin dhe informacionin dhe vizualizimin e përditësuar të kërcënimit.

Avantazhet

  • Ndërtuar mbi projekte të provuara me burim të hapur;
  • Komunitet i madh përdoruesish dhe zhvilluesish.

Kufizimet

  • Nuk mbështet monitorimin e platformave cloud (për shembull, AWS ose Azure);
  • Nuk ka menaxhim të regjistrave, vizualizim, automatizim ose integrim me shërbime të palëve të treta.

Burim

MozDef (Platforma e Mbrojtjes Mozilla)

5 sisteme të menaxhimit të ngjarjeve të sigurisë me burim të hapur

Sistemi MozDef SIEM i zhvilluar nga Mozilla përdoret për të automatizuar proceset e përpunimit të incidenteve të sigurisë. Sistemi është projektuar nga themeli për të arritur performancën maksimale, shkallëzueshmërinë dhe tolerancën ndaj gabimeve, me një arkitekturë mikroservice - çdo shërbim funksionon në një kontejner Docker.

Ashtu si OSSIM, MozDef është ndërtuar në projekte me burim të hapur të testuar me kohë, duke përfshirë modulin e indeksimit dhe kërkimit të regjistrave Elasticsearch, platformën Meteor për ndërtimin e një ndërfaqeje fleksibël të internetit dhe shtojcën Kibana për vizualizim dhe vizatim.

Korrelacioni dhe sinjalizimi i ngjarjeve kryhen duke përdorur pyetjet e Elasticsearch, të cilat ju lejojnë të shkruani rregullat tuaja të përpunimit të ngjarjeve dhe sinjalizimeve duke përdorur Python. Sipas Mozilla, MozDef mund të përpunojë më shumë se 300 milionë ngjarje në ditë. MozDef pranon vetëm ngjarje në format JSON, por ka integrim me shërbime të palëve të treta.

Avantazhet

  • Nuk përdor agjentë - punon me regjistrat standardë JSON;
  • Shkallëzimi i lehtë falë arkitekturës së mikroservisit;
  • Mbështet burimet e të dhënave të shërbimit cloud, duke përfshirë AWS CloudTrail dhe GuardDuty.

Kufizimet

  • Sistemi i ri dhe më pak i krijuar.

Burim

Wazuh

5 sisteme të menaxhimit të ngjarjeve të sigurisë me burim të hapur

Wazuh filloi zhvillimin si një fork i OSSEC, një prej SIEM-ve më të njohura me burim të hapur. Dhe tani ajo është zgjidhja e saj unike me funksionalitet të ri, rregullime të gabimeve dhe arkitekturë të optimizuar.

Sistemi është ndërtuar në pirgun ElasticStack (Elasticsearch, Logstash, Kibana) dhe mbështet mbledhjen e të dhënave të bazuara në agjentë dhe gëlltitjen e regjistrave të sistemit. Kjo e bën atë efektiv për monitorimin e pajisjeve që gjenerojnë regjistra, por nuk mbështesin instalimin e agjentëve - pajisjet e rrjetit, printerët dhe pajisjet periferike.

Wazuh mbështet agjentët ekzistues të OSSEC dhe madje ofron udhëzime për migrimin nga OSSEC në Wazuh. Edhe pse OSSEC mbështetet ende në mënyrë aktive, Wazuh shihet si një vazhdim i OSSEC për shkak të shtimit të një ndërfaqe të re ueb, REST API, një grup më të plotë rregullash dhe shumë përmirësime të tjera.

Avantazhet

  • Bazuar dhe në përputhje me OSSEC-in e njohur SIEM;
  • Mbështet opsione të ndryshme instalimi: Docker, Puppet, Chef, Ansible;
  • Mbështet monitorimin e shërbimeve cloud, duke përfshirë AWS dhe Azure;
  • Përfshin një grup të plotë rregullash për të zbuluar lloje të shumta sulmesh dhe ju lejon t'i krahasoni ato në përputhje me PCI DSS v3.1 dhe CIS.
  • Integrohet me sistemin e ruajtjes dhe analizës së regjistrave Splunk për vizualizimin e ngjarjeve dhe mbështetjen e API.

Kufizimet

  • Arkitekturë komplekse - kërkon një vendosje të plotë Elastic Stack përveç komponentëve Wazuh backend.

Burim

Prelude OS

5 sisteme të menaxhimit të ngjarjeve të sigurisë me burim të hapur

Prelude OSS është një version me burim të hapur i Prelude SIEM komercial, i zhvilluar nga kompania franceze CS. Zgjidhja është një sistem SIEM fleksibël, modular që mbështet formate të shumta regjistrash, integrim me mjete të palëve të treta si OSSEC, Snort dhe sistemin e zbulimit të rrjetit Suricata.

Çdo ngjarje normalizohet në një mesazh duke përdorur formatin IDMEF, i cili thjeshton shkëmbimin e të dhënave me sistemet e tjera. Por ka një mizë në vaj - Prelude OSS është shumë i kufizuar në performancë dhe funksionalitet në krahasim me versionin komercial të Prelude SIEM, dhe është menduar më shumë për projekte të vogla ose për studimin e zgjidhjeve SIEM dhe vlerësimin e Prelude SIEM.

Avantazhet

  • Sistemi i testuar me kohë, i zhvilluar që nga viti 1998;
  • Mbështet shumë formate të ndryshme të regjistrave;
  • Normalizon të dhënat në formatin IMDEF, duke e bërë të lehtë transferimin e të dhënave në sisteme të tjera sigurie.

Kufizimet

  • Kufizohet ndjeshëm në funksionalitet dhe performancë në krahasim me sistemet e tjera SIEM me burim të hapur.

Burim

Sagani

5 sisteme të menaxhimit të ngjarjeve të sigurisë me burim të hapur

Sagan është një SIEM me performancë të lartë që thekson përputhshmërinë me Snort. Përveç rregullave mbështetëse të shkruara për Snort, Sagan mund të shkruajë në bazën e të dhënave Snort dhe madje mund të përdoret me ndërfaqen Shuil. Në thelb, është një zgjidhje e lehtë me shumë fije që ofron veçori të reja duke mbetur miqësore për përdoruesit e Snort.

Avantazhet

  • Plotësisht i pajtueshëm me bazën e të dhënave Snort, rregullat dhe ndërfaqen e përdoruesit;
  • Arkitektura me shumë fije ofron performancë të lartë.

Kufizimet

  • Një projekt relativisht i ri me një komunitet të vogël;
  • Një proces kompleks instalimi që përfshin ndërtimin e të gjithë SIEM nga burimi.

Burim

Përfundim

Secili prej sistemeve të përshkruara SIEM ka karakteristikat dhe kufizimet e veta, kështu që ato nuk mund të quhen një zgjidhje universale për çdo organizatë. Megjithatë, këto zgjidhje janë me burim të hapur, duke i lejuar ato të vendosen, testohen dhe vlerësohen pa shkaktuar kosto të tepërta.

Çfarë tjetër interesante mund të lexoni në blog? Cloud4Y

VNIITE i të gjithë planetit: si u shpik sistemi i "shtëpisë së zgjuar" në BRSS
Si e ndihmojnë njerëzimin ndërfaqet nervore
Sigurimi kibernetik në tregun rus
Dritë, kamera... re: si retë po ndryshojnë industrinë e filmit
Futbolli në re - modë apo domosdoshmëri?

Regjistrohu në tonë Telegram-kanal që të mos humbisni artikullin tjetër! Ne shkruajmë jo më shumë se dy herë në javë dhe vetëm për punë.

Burimi: www.habr.com