Setsebi se setle sa ts'ireletso ea IT se fapana joang le se tloaelehileng? Che, eseng ka taba ea hore ka nako leha e le efe a ka bolela ka mohopolo palo ea melaetsa eo mookameli Igor a e rometseng maobane ho mosebetsi-'moho le eena Maria. Setsebi se setle sa ts'ireletso se leka ho tsebahatsa litlolo tse ka bang teng esale pele le ho li tšoara ka nako ea nnete, li etsa sohle se matleng a tsona ho netefatsa hore ketsahalo eo ha e tsoele pele. Sistimi ea taolo ea liketsahalo tsa ts'ireletso (SIEM, ho tsoa ho tlhaiso-leseling ea Ts'ireletso le taolo ea liketsahalo) e nolofatsa haholo mosebetsi oa ho rekota ka potlako le ho thibela tlolo efe kapa efe e lekang.
Ka tloaelo, litsamaiso tsa SIEM li kopanya sistimi ea ts'ireletso ea tlhahisoleseling le sistimi ea ts'ireletso ea liketsahalo. Tšobotsi ea bohlokoa ea litsamaiso ke tlhahlobo ea liketsahalo tsa ts'ireletso ka nako ea sebele, e leng se u lumellang hore u arabele pele ho tšenyo e teng.
Mesebetsi ea mantlha ea litsamaiso tsa SIEM:
- Ho bokella lintlha le ho tloaeleha
- Khokahano ea Boitsebiso
- Tlhokomeliso
- Liphanele tsa pono
- Mokhatlo oa polokelo ea data
- Patlisiso le Tlhahlobo ea Lintlha
- Ho tlaleha
Mabaka a tlhokahalo e phahameng ea litsamaiso tsa SIEM
Haufinyane tjena, ho rarahana le ho hokahanya ha litlhaselo tsamaisong ea boitsebiso ho eketsehile haholo. Ka nako e ts'oanang, lisebelisoa tse rarahaneng tsa lisebelisoa tsa ts'ireletso ea tlhahisoleseding tse sebelisoang li boetse li fetoha tse rarahaneng haholoanyane-li-network le li-host-based intrusion systems, mekhoa ea DLP, li-anti-virus le li-firewall, li-scanner tsa ts'oaetso, joalo-joalo. Sesebelisoa se seng le se seng sa ts'ireletso se hlahisa letoto la liketsahalo tse nang le lintlha tse fapaneng, 'me hangata tlhaselo e ka bonoa feela ka liketsahalo tse fetang tse tsoang lits'ebetsong tse fapaneng.
Ho na le ho hongata ka mefuta eohle ea litsamaiso tsa khoebo tsa SIEM , empa re fana ka kakaretso e khuts'oane ea lits'ebetso tsa SIEM tsa mahala, tse felletseng tse bulehileng tse se nang lithibelo tsa maiketsetso ho palo ea basebelisi kapa bongata ba data e bolokiloeng e amoheloang, hape e ka senyeha habonolo ebile e tšehetsoa. Re tšepa hore sena se tla thusa ho lekola bokhoni ba litsamaiso tse joalo le ho etsa qeto ea hore na litharollo tse joalo li loketse ho kenyelletsoa lits'ebetsong tsa khoebo tsa k'hamphani.
AlienVault OSSIM
AlienVault OSSIM ke mofuta o bulehileng oa AlienVault USM, e 'ngoe ea litsamaiso tse etelletseng pele tsa khoebo tsa SIEM. OSSIM ke moralo o nang le merero e mengata e bulehileng ea mohloli, ho kenyeletsoa mokhoa oa ho bona oa ho kenella ha marang-rang oa Snort, marang-rang a Nagios le sistimi ea ho shebella batho ba amohelang baeti, sistimi ea ho lemoha ho kenella ha moamoheli oa OSSEC, le sehatisi sa OpenVAS sa ts'oaetso.
Ho shebella lisebelisoa, ho sebelisoa Moemeli oa AlienVault, ea romellang li-log ho tloha ho moamoheli ka mokhoa oa syslog ho sethaleng sa GELF, kapa plugin e ka sebelisoa bakeng sa ho kopanngoa le litšebeletso tsa batho ba bang, tse kang tšebeletso ea proxy ea Cloudflare reverse website kapa Okta multi. -sistimi ea netefatso ea lintlha.
Mofuta oa USM o fapane le OSSIM e nang le ts'ebetso e ntlafalitsoeng bakeng sa taolo ea log, tlhahlobo ea lits'ebetso tsa maru, li-automation, le tlhaiso-leseling e ntlafalitsoeng ea litšokelo le pono.
le menyetla
- E hahiloe holim'a merero e netefalitsoeng ea mohloli o bulehileng;
- Sechaba se seholo sa basebelisi le bahlahisi.
Mathata
- Ha e tšehetse ho lekola li-platform tsa maru (mohlala, AWS kapa Azure);
- Ha ho na taolo ea log, pono, automation kapa kopanyo le lits'ebeletso tsa mokha oa boraro.
MozDef (Sethala sa Tšireletso sa Mozilla)
Sistimi ea MozDef SIEM e ntlafalitsoeng ke Mozilla e sebelisoa ho iketsetsa ts'ebetso ea ts'ebetso ea ts'ireletso. Sistimi e hlophisitsoe ho tloha fatše ho fihlela ts'ebetso e phahameng, scalability le mamello ea liphoso, e nang le meralo ea microservice - ts'ebeletso e 'ngoe le e' ngoe e tsamaisoa ka sejaneng sa Docker.
Joalo ka OSSIM, MozDef e hahiloe holim'a merero e bulehileng ea mohloli o lekiloeng ka nako, ho kenyeletsoa indexing ea lintlha le mojule oa ho batla oa Elasticsearch, sethala sa Meteor bakeng sa ho aha sehokelo sa marang-rang se feto-fetohang, le plugin ea Kibana bakeng sa pono le moralo.
Khokahano ea ketsahalo le tlhokomeliso li etsoa ho sebelisoa lipotso tsa Elasticsearch, tse u lumellang hore u ngole melao ea hau ea ts'ebetso le tlhokomeliso u sebelisa Python. Ho latela Mozilla, MozDef e ka sebetsana le liketsahalo tse fetang limilione tse 300 ka letsatsi. MozDef e amohela feela liketsahalo ka sebopeho sa JSON, empa ho na le kopanyo le lits'ebeletso tsa mokha oa boraro.
le menyetla
- Ha e sebelise liakhente - e sebetsa ka li-logs tse tloaelehileng tsa JSON;
- Habonolo sekala ka lebaka la microservice meralo;
- E ts'ehetsa mehloli ea data ea lits'ebeletso tsa maru ho kenyelletsa AWS CloudTrail le GuardDuty.
Mathata
- Sistimi e ncha le e seng e thehiloe.
Wazuh
Wazuh o qalile nts'etsopele joalo ka fereko ea OSSEC, e 'ngoe ea li-SIEM tse tsebahalang haholo tse bulehileng. 'Me joale ke tharollo ea eona e ikhethang e nang le ts'ebetso e ncha, litokiso tsa liphoso le meralo e ntlafalitsoeng.
Sistimi e hahiloe holim'a stack ea ElasticStack (Elasticsearch, Logstash, Kibana) mme e ts'ehetsa pokello ea data e thehiloeng ho baemeli le ho kenngoa ha log log. Sena se etsa hore e atlehe bakeng sa lisebelisoa tsa ho shebella tse hlahisang li-log empa li sa tšehetse ho kenya moemeli - lisebelisoa tsa marang-rang, li-printer le li-peripherals.
Wazuh e ts'ehetsa liakhente tsa OSSEC tse seng li ntse li le teng ebile e fana ka tataiso mabapi le ho falla ho tloha OSSEC ho ea Wazuh. Le hoja OSSEC e ntse e tšehetsoa ka mafolofolo, Wazuh e nkoa e le tsoelo-pele ea OSSEC ka lebaka la ho eketsoa ha sebopeho se secha sa marang-rang, REST API, melao e feletseng haholoanyane, le lintlafatso tse ling tse ngata.
le menyetla
- E ipapisitse le e lumellanang le SIEM OSSEC e tsebahalang;
- E ts'ehetsa likhetho tse fapaneng tsa ho kenya: Docker, Puppet, Chef, Ansible;
- E ts'ehetsa ho lekola lits'ebeletso tsa maru, ho kenyeletsoa AWS le Azure;
- E kenyelletsa lethathamo le felletseng la melao ea ho lemoha mefuta e mengata ea litlhaselo mme e u lumella ho bapisa ho latela PCI DSS v3.1 le CIS.
- E hokahana le polokelo ea log ea Splunk le sistimi ea tlhahlobo bakeng sa pono ea liketsahalo le tšehetso ea API.
Mathata
- Meaho e rarahaneng - e hloka phepelo e felletseng ea Elastic Stack ho kenyelletsa likarolo tsa Wazuh backend.
Pele ho OS
Prelude OSS ke mofuta oa mohloli o bulehileng oa Prelude SIEM ea khoebo, e ntlafalitsoeng ke khamphani ea Fora CS. Tharollo ke mokhoa o feto-fetohang, o tloaelehileng oa SIEM o tšehetsang liforomo tse ngata tsa log, ho kopanngoa le lisebelisoa tsa batho ba boraro tse kang OSSEC, Snort le Suricata network discovery system.
Ketsahalo e 'ngoe le e' ngoe e tloaeleha ho ba molaetsa o sebelisang sebopeho sa IDMEF, se nolofatsang phapanyetsano ea data le litsamaiso tse ling. Empa ho na le ntsintsi ka har'a setlolo - Prelude OSS e fokola haholo ts'ebetsong le ts'ebetsong ha e bapisoa le mofuta oa khoebo oa Prelude SIEM, 'me e reretsoe ho feta merero e nyenyane kapa ho ithuta litharollo tsa SIEM le ho hlahloba Prelude SIEM.
le menyetla
- Sistimi e lekiloeng ka nako, e ntlafalitsoeng ho tloha 1998;
- E tšehetsa liforomo tse ngata tse fapaneng tsa log;
- E etsa hore data e be le sebopeho sa IMDEF, e nolofalletsa ho fetisetsa data ho litsamaiso tse ling tsa ts'ireletso.
Mathata
- E fokotsehile haholo ts'ebetsong le ts'ebetsong ha e bapisoa le lisebelisoa tse ling tsa SIEM tse bulehileng.
sagan
Sagan ke SIEM e sebetsang hantle haholo e totobatsang ho lumellana le Snort. Ntle le melao e tšehetsang e ngotsoeng bakeng sa Snort, Sagan e ka ngolla polokelong ea polokelo ea Snort mme e ka sebelisoa le sebopeho sa Shuil. Ha e le hantle, ke tharollo e bobebe e nang le likhoele tse ngata e fanang ka likarolo tse ncha ha e ntse e lula e le botsoalle ho basebelisi ba Snort.
le menyetla
- E lumellana ka botlalo le database ea Snort, melao le sebopeho sa mosebelisi;
- Mehaho e nang le likhoele tse ngata e fana ka ts'ebetso e phahameng.
Mathata
- Morero o batlang o le monyane o nang le sechaba se senyenyane;
- Ts'ebetso e rarahaneng ea ho kenya e kenyelletsang ho aha SIEM eohle ho tsoa mohloling.
fihlela qeto e
E 'ngoe le e' ngoe ea mekhoa e hlalositsoeng ea SIEM e na le litšobotsi le mefokolo ea eona, kahoo e ke ke ea bitsoa tharollo ea bokahohle bakeng sa mokhatlo ofe kapa ofe. Leha ho le joalo, litharollo tsena ke mohloli o bulehileng, o li lumellang hore li sebelisoe, li lekoe, 'me li hlahlojoe ntle le ho kenya litšenyehelo tse feteletseng.
Ke eng hape e thahasellisang eo u ka e balang ho blog?
→
→
→
→
→
Ngolisa ho rona - mocha e le hore u se ke oa fetoa ke sengoloa se latelang! Ha re ngole ho feta habeli ka beke le ka khoebo feela.
Source: www.habr.com