Hur skiljer sig en bra IT-säkerhetsspecialist från en vanlig? Nej, inte genom att han vid varje givet tillfälle kan namnge efter minnet antalet meddelanden som chefen Igor skickade i går till sin kollega Maria. En bra säkerhetsspecialist försöker identifiera möjliga överträdelser i förväg och fånga dem i realtid, och gör allt för att säkerställa att incidenten inte fortsätter. Säkerhetshändelsehanteringssystem (SIEM, från Säkerhetsinformation och händelsehantering) förenklar avsevärt uppgiften att snabbt registrera och blockera alla försök till överträdelser.
Traditionellt kombinerar SIEM-system ett hanteringssystem för informationssäkerhet och ett hanteringssystem för säkerhetshändelser. En viktig egenskap hos systemen är analysen av säkerhetshändelser i realtid, vilket gör att du kan svara på dem innan befintliga skador uppstår.
Huvuduppgifter för SIEM-system:
- Datainsamling och normalisering
- Datakorrelation
- Varna
- Visualiseringspaneler
- Organisation av datalagring
- Datasökning och analys
- Rapportering
Orsaker till den höga efterfrågan på SIEM-system
På senare tid har komplexiteten och samordningen av attacker mot informationssystem ökat kraftigt. Samtidigt blir komplexet av informationssäkerhetsverktyg som används också mer komplext – nätverks- och värdbaserade intrångsdetekteringssystem, DLP-system, antivirussystem och brandväggar, sårbarhetsskannrar, etc. Varje säkerhetsverktyg genererar en ström av händelser med varierande detaljnivå, och ofta kan en attack bara ses av överlappande händelser från olika system.
Det finns mycket om alla typer av kommersiella SIEM-system , men vi erbjuder en kort översikt över gratis, fullfjädrade SIEM-system med öppen källkod som inte har konstgjorda begränsningar för antalet användare eller volymen av accepterad lagrad data, och som också är lätta att skala och stödja. Vi hoppas att detta kommer att hjälpa till att bedöma potentialen hos sådana system och avgöra om sådana lösningar är värda att integrera i företagets affärsprocesser.
AlienVault OSSIM
AlienVault OSSIM är en öppen källkodsversion av AlienVault USM, ett av de ledande kommersiella SIEM-systemen. OSSIM är ett ramverk som består av flera projekt med öppen källkod, inklusive Snort-nätverkets intrångsdetekteringssystem, Nagios nätverks- och värdövervakningssystem, OSSEC-värdbaserade intrångsdetekteringssystem och OpenVAS sårbarhetsskanner.
För att övervaka enheter används AlienVault Agent, som skickar loggar från värden i syslog-format till GELF-plattformen, eller så kan en plugin användas för integration med tredjepartstjänster, som Cloudflares webbplats omvänd proxytjänst eller Okta multi -faktor autentiseringssystem.
USM-versionen skiljer sig från OSSIM med förbättrad funktionalitet för logghantering, övervakning av molninfrastruktur, automatisering och uppdaterad hotinformation och visualisering.
Fördelar
- Byggd på beprövade projekt med öppen källkod;
- Stor gemenskap av användare och utvecklare.
Begränsningar
- Stöder inte övervakning av molnplattformar (till exempel AWS eller Azure);
- Det finns ingen logghantering, visualisering, automatisering eller integration med tredjepartstjänster.
MozDef (Mozilla Defence Platform)
MozDef SIEM-systemet utvecklat av Mozilla används för att automatisera processer för bearbetning av säkerhetsincidenter. Systemet är designat från grunden för att uppnå maximal prestanda, skalbarhet och feltolerans, med en mikrotjänstarkitektur - varje tjänst körs i en Docker-container.
Liksom OSSIM är MozDef byggt på beprövade projekt med öppen källkod, inklusive Elasticsearch-loggindexerings- och sökmodulen, Meteor-plattformen för att bygga ett flexibelt webbgränssnitt och Kibana-plugin för visualisering och plottning.
Händelsekorrelation och varning utförs med hjälp av Elasticsearch-frågor, som låter dig skriva dina egna regler för händelsebearbetning och varning med Python. Enligt Mozilla kan MozDef bearbeta mer än 300 miljoner händelser per dag. MozDef accepterar endast händelser i JSON-format, men det finns integration med tredjepartstjänster.
Fördelar
- Använder inte agenter - fungerar med standard JSON-loggar;
- Skalas enkelt tack vare mikrotjänstarkitektur;
- Stöder datakällor för molntjänster inklusive AWS CloudTrail och GuardDuty.
Begränsningar
- Nytt och mindre etablerat system.
Wazuh
Wazuh började utvecklas som en gaffel av OSSEC, en av de mest populära SIEM:erna med öppen källkod. Och nu är det en egen unik lösning med ny funktionalitet, buggfixar och optimerad arkitektur.
Systemet är byggt på ElasticStack-stacken (Elasticsearch, Logstash, Kibana) och stöder både agentbaserad datainsamling och systemloggintag. Detta gör det effektivt för övervakning av enheter som genererar loggar men som inte stöder agentinstallation - nätverksenheter, skrivare och kringutrustning.
Wazuh stöder befintliga OSSEC-agenter och ger till och med vägledning om migrering från OSSEC till Wazuh. Även om OSSEC fortfarande stöds aktivt, ses Wazuh som en fortsättning på OSSEC på grund av tillägget av ett nytt webbgränssnitt, REST API, en mer komplett uppsättning regler och många andra förbättringar.
Fördelar
- Baserad på och kompatibel med den populära SIEM OSSEC;
- Stöder olika installationsalternativ: Docker, Puppet, Chef, Ansible;
- Stöder övervakning av molntjänster, inklusive AWS och Azure;
- Innehåller en omfattande uppsättning regler för att upptäcka flera typer av attacker och låter dig jämföra dem i enlighet med PCI DSS v3.1 och CIS.
- Integreras med Splunk-logglagrings- och analyssystemet för händelsevisualisering och API-stöd.
Begränsningar
- Komplex arkitektur - kräver en komplett Elastic Stack-distribution utöver Wazuh-backend-komponenter.
Prelude OS
Prelude OSS är en öppen källkodsversion av det kommersiella Prelude SIEM, utvecklat av det franska företaget CS. Lösningen är ett flexibelt, modulärt SIEM-system som stöder flera loggformat, integration med tredjepartsverktyg som OSSEC, Snort och nätverksdetekteringssystemet Suricata.
Varje händelse normaliseras till ett meddelande med IDMEF-formatet, vilket förenklar datautbytet med andra system. Men det finns en fluga i salvan – Prelude OSS är mycket begränsad i prestanda och funktionalitet jämfört med den kommersiella versionen av Prelude SIEM, och är mer avsedd för små projekt eller för att studera SIEM-lösningar och utvärdera Prelude SIEM.
Fördelar
- Tidstestat system, utvecklat sedan 1998;
- Stöder många olika loggformat;
- Normaliserar data till IMDEF-format, vilket gör det enkelt att överföra data till andra säkerhetssystem.
Begränsningar
- Betydligt begränsad i funktionalitet och prestanda jämfört med andra SIEM-system med öppen källkod.
Sagan
Sagan är en högpresterande SIEM som betonar kompatibilitet med Snort. Förutom att stödja regler skrivna för Snort kan Sagan skriva till Snort-databasen och kan även användas med Shuil-gränssnittet. I huvudsak är det en lätt flertrådig lösning som erbjuder nya funktioner samtidigt som den är vänlig för Snort-användare.
Fördelar
- Fullt kompatibel med Snort-databas, regler och användargränssnitt;
- Flertrådig arkitektur ger hög prestanda.
Begränsningar
- Ett relativt ungt projekt med ett litet samhälle;
- En komplex installationsprocess som involverar att bygga hela SIEM från källan.
Slutsats
Vart och ett av de beskrivna SIEM-systemen har sina egna egenskaper och begränsningar, så de kan inte kallas en universell lösning för någon organisation. Dessa lösningar är dock öppen källkod, vilket gör att de kan distribueras, testas och utvärderas utan att det medför alltför höga kostnader.
Vad mer intressant kan du läsa på bloggen?
→
→
→
→
→
Prenumerera på vår -kanal så att du inte missar nästa artikel! Vi skriver inte mer än två gånger i veckan och endast i affärer.
Källa: will.com