புரோஹோஸ்டர் > Блог > நிர்வாகம் > 5 திறந்த மூல பாதுகாப்பு நிகழ்வு மேலாண்மை அமைப்புகள்

5 திறந்த மூல பாதுகாப்பு நிகழ்வு மேலாண்மை அமைப்புகள்

5 திறந்த மூல பாதுகாப்பு நிகழ்வு மேலாண்மை அமைப்புகள்

ஒரு நல்ல தகவல் தொழில்நுட்ப பாதுகாப்பு நிபுணர் சாதாரண ஒருவரிடமிருந்து எவ்வாறு வேறுபடுகிறார்? இல்லை, எந்த நேரத்திலும் மேலாளர் இகோர் தனது சக ஊழியர் மரியாவுக்கு அனுப்பிய செய்திகளின் எண்ணிக்கையை நினைவகத்திலிருந்து பெயரிட முடியும் என்பதன் மூலம் அல்ல. ஒரு நல்ல பாதுகாப்பு நிபுணர், சாத்தியமான மீறல்களை முன்கூட்டியே அடையாளம் கண்டு, உண்மையான நேரத்தில் அவற்றைப் பிடிக்க முயற்சிக்கிறார், சம்பவம் தொடராமல் இருக்க எல்லா முயற்சிகளையும் மேற்கொள்கிறார். பாதுகாப்பு நிகழ்வு மேலாண்மை அமைப்புகள் (SIEM, பாதுகாப்பு தகவல் மற்றும் நிகழ்வு மேலாண்மை) எந்த முயற்சி மீறல்களையும் விரைவாக பதிவுசெய்து தடுக்கும் பணியை பெரிதும் எளிதாக்குகிறது.

பாரம்பரியமாக, SIEM அமைப்புகள் ஒரு தகவல் பாதுகாப்பு மேலாண்மை அமைப்பு மற்றும் ஒரு பாதுகாப்பு நிகழ்வு மேலாண்மை அமைப்பு ஆகியவற்றை இணைக்கின்றன. அமைப்புகளின் ஒரு முக்கிய அம்சம், பாதுகாப்பு நிகழ்வுகளை உண்மையான நேரத்தில் பகுப்பாய்வு செய்வதாகும், இது ஏற்கனவே உள்ள சேதம் ஏற்படுவதற்கு முன்பு அவர்களுக்கு பதிலளிக்க உங்களை அனுமதிக்கிறது.

SIEM அமைப்புகளின் முக்கிய பணிகள்:

  • தரவு சேகரிப்பு மற்றும் இயல்பாக்கம்
  • தரவு தொடர்பு
  • எச்சரிக்கை
  • காட்சிப்படுத்தல் பேனல்கள்
  • தரவு சேமிப்பகத்தின் அமைப்பு
  • தரவு தேடல் மற்றும் பகுப்பாய்வு
  • அறிக்கையிடல்

SIEM அமைப்புகளுக்கான அதிக தேவைக்கான காரணங்கள்

சமீபத்தில், தகவல் அமைப்புகள் மீதான தாக்குதல்களின் சிக்கலான மற்றும் ஒருங்கிணைப்பு பெரிதும் அதிகரித்துள்ளது. அதே நேரத்தில், பயன்படுத்தப்படும் தகவல் பாதுகாப்பு கருவிகளின் சிக்கலானது நெட்வொர்க் மற்றும் ஹோஸ்ட் அடிப்படையிலான ஊடுருவல் கண்டறிதல் அமைப்புகள், DLP அமைப்புகள், வைரஸ் எதிர்ப்பு அமைப்புகள் மற்றும் ஃபயர்வால்கள், பாதிப்பு ஸ்கேனர்கள் போன்றவை. ஒவ்வொரு பாதுகாப்புக் கருவியும் நிகழ்வுகளின் ஸ்ட்ரீமை பல்வேறு நிலைகளின் விவரங்களுடன் உருவாக்குகிறது, மேலும் பல்வேறு அமைப்புகளிலிருந்து நிகழ்வுகளை ஒன்றுடன் ஒன்று சேர்ப்பதன் மூலம் மட்டுமே தாக்குதலைக் காண முடியும்.

அனைத்து வகையான வணிக SIEM அமைப்புகள் பற்றி நிறைய உள்ளது அது எழுதப்பட்டுள்ளது, ஆனால் பயனர்களின் எண்ணிக்கை அல்லது ஏற்றுக்கொள்ளப்பட்ட சேமிக்கப்பட்ட தரவின் அளவு ஆகியவற்றில் செயற்கையான கட்டுப்பாடுகள் இல்லாத இலவச, முழு அளவிலான திறந்த மூல SIEM அமைப்புகளின் சுருக்கமான கண்ணோட்டத்தை நாங்கள் வழங்குகிறோம், மேலும் அவை எளிதில் அளவிடக்கூடியவை மற்றும் ஆதரிக்கப்படுகின்றன. இது அத்தகைய அமைப்புகளின் திறனை மதிப்பிடுவதற்கும், அத்தகைய தீர்வுகள் நிறுவனத்தின் வணிக செயல்முறைகளில் ஒருங்கிணைக்கப்பட வேண்டுமா என்பதை முடிவு செய்வதற்கும் உதவும் என்று நம்புகிறோம்.

AlienVault OSSIM

5 திறந்த மூல பாதுகாப்பு நிகழ்வு மேலாண்மை அமைப்புகள்

AlienVault OSSIM என்பது முன்னணி வணிக SIEM அமைப்புகளில் ஒன்றான AlienVault USM இன் திறந்த மூலப் பதிப்பாகும். OSSIM என்பது Snort நெட்வொர்க் ஊடுருவல் கண்டறிதல் அமைப்பு, நாகியோஸ் நெட்வொர்க் மற்றும் ஹோஸ்ட் கண்காணிப்பு அமைப்பு, OSSEC ஹோஸ்ட்-அடிப்படையிலான ஊடுருவல் கண்டறிதல் அமைப்பு மற்றும் OpenVAS பாதிப்பு ஸ்கேனர் உள்ளிட்ட பல திறந்த மூல திட்டங்களைக் கொண்ட ஒரு கட்டமைப்பாகும்.

சாதனங்களைக் கண்காணிக்க, AlienVault ஏஜென்ட் பயன்படுத்தப்படுகிறது, இது ஹோஸ்டில் இருந்து syslog வடிவத்தில் பதிவுகளை GELF இயங்குதளத்திற்கு அனுப்புகிறது அல்லது Cloudflare இணையதளம் ரிவர்ஸ் ப்ராக்ஸி சேவை அல்லது Okta multi போன்ற மூன்றாம் தரப்பு சேவைகளுடன் ஒருங்கிணைக்க ஒரு செருகுநிரலைப் பயன்படுத்தலாம். காரணி அங்கீகார அமைப்பு.

பதிவு மேலாண்மை, கிளவுட் உள்கட்டமைப்பு கண்காணிப்பு, ஆட்டோமேஷன் மற்றும் புதுப்பிக்கப்பட்ட அச்சுறுத்தல் தகவல் மற்றும் காட்சிப்படுத்தல் ஆகியவற்றிற்கான மேம்படுத்தப்பட்ட செயல்பாடுகளுடன் USM பதிப்பு OSSIM இலிருந்து வேறுபடுகிறது.

நன்மைகள்

  • நிரூபிக்கப்பட்ட திறந்த மூல திட்டங்களில் கட்டப்பட்டது;
  • பயனர்கள் மற்றும் டெவலப்பர்களின் பெரிய சமூகம்.

குறைபாடுகளை

  • கிளவுட் இயங்குதளங்களின் கண்காணிப்பை ஆதரிக்காது (உதாரணமாக, AWS அல்லது Azure);
  • பதிவு மேலாண்மை, காட்சிப்படுத்தல், ஆட்டோமேஷன் அல்லது மூன்றாம் தரப்பு சேவைகளுடன் ஒருங்கிணைப்பு இல்லை.

மூல

MozDef (Mozilla Defense Platform)

5 திறந்த மூல பாதுகாப்பு நிகழ்வு மேலாண்மை அமைப்புகள்

Mozilla ஆல் உருவாக்கப்பட்ட MozDef SIEM அமைப்பு பாதுகாப்பு சம்பவ செயலாக்க செயல்முறைகளை தானியக்கமாக்க பயன்படுகிறது. மைக்ரோ சர்வீஸ் கட்டமைப்பைக் கொண்டு, அதிகபட்ச செயல்திறன், அளவிடுதல் மற்றும் தவறு சகிப்புத்தன்மையை அடைய இந்த அமைப்பு தரையில் இருந்து வடிவமைக்கப்பட்டுள்ளது - ஒவ்வொரு சேவையும் ஒரு டோக்கர் கொள்கலனில் இயங்குகிறது.

OSSIM ஐப் போலவே, MozDef ஆனது எலாஸ்டிக்சேர்ச் பதிவு அட்டவணைப்படுத்தல் மற்றும் தேடல் தொகுதி, ஒரு நெகிழ்வான வலை இடைமுகத்தை உருவாக்குவதற்கான விண்கல் தளம் மற்றும் காட்சிப்படுத்தல் மற்றும் திட்டமிடலுக்கான கிபானா செருகுநிரல் உள்ளிட்ட நேர-சோதனை செய்யப்பட்ட திறந்த மூல திட்டங்களில் கட்டமைக்கப்பட்டுள்ளது.

நிகழ்வு தொடர்பு மற்றும் விழிப்பூட்டல் மீள் தேடல் வினவல்களைப் பயன்படுத்தி செய்யப்படுகிறது, இது பைத்தானைப் பயன்படுத்தி உங்கள் சொந்த நிகழ்வு செயலாக்கம் மற்றும் எச்சரிக்கை விதிகளை எழுத அனுமதிக்கிறது. Mozilla படி, MozDef ஒரு நாளைக்கு 300 மில்லியனுக்கும் அதிகமான நிகழ்வுகளை செயல்படுத்த முடியும். MozDef நிகழ்வுகளை JSON வடிவத்தில் மட்டுமே ஏற்றுக்கொள்கிறது, ஆனால் மூன்றாம் தரப்பு சேவைகளுடன் ஒருங்கிணைப்பு உள்ளது.

நன்மைகள்

  • முகவர்களைப் பயன்படுத்தாது - நிலையான JSON பதிவுகளுடன் வேலை செய்கிறது;
  • மைக்ரோ சர்வீஸ் கட்டிடக்கலை மூலம் எளிதாக அளவிடப்படுகிறது;
  • AWS CloudTrail மற்றும் GuardDuty உள்ளிட்ட கிளவுட் சேவை தரவு ஆதாரங்களை ஆதரிக்கிறது.

குறைபாடுகளை

  • புதிய மற்றும் குறைவாக நிறுவப்பட்ட அமைப்பு.

மூல

வசுஹ்

5 திறந்த மூல பாதுகாப்பு நிகழ்வு மேலாண்மை அமைப்புகள்

மிகவும் பிரபலமான ஓப்பன் சோர்ஸ் SIEMகளில் ஒன்றான OSSEC இன் ஃபோர்க் என Wazuh உருவாக்கத் தொடங்கியது. இப்போது இது புதிய செயல்பாடு, பிழை திருத்தங்கள் மற்றும் உகந்த கட்டமைப்புடன் அதன் சொந்த தனித்துவமான தீர்வாக உள்ளது.

இந்த அமைப்பு ElasticStack அடுக்கில் (Elasticsearch, Logstash, Kibana) கட்டமைக்கப்பட்டுள்ளது மற்றும் முகவர் அடிப்படையிலான தரவு சேகரிப்பு மற்றும் கணினி பதிவு உட்செலுத்துதல் ஆகிய இரண்டையும் ஆதரிக்கிறது. பதிவுகளை உருவாக்கும் ஆனால் முகவர் நிறுவலை ஆதரிக்காத - நெட்வொர்க் சாதனங்கள், அச்சுப்பொறிகள் மற்றும் சாதனங்களைக் கண்காணிக்கும் சாதனங்களை இது பயனுள்ளதாக்குகிறது.

Wazuh ஏற்கனவே உள்ள OSSEC முகவர்களை ஆதரிக்கிறது மற்றும் OSSEC இலிருந்து Wazuh க்கு இடம்பெயர்வதற்கான வழிகாட்டுதலையும் வழங்குகிறது. OSSEC இன்னும் தீவிரமாக ஆதரிக்கப்பட்டாலும், புதிய வலை இடைமுகம், REST API, மேலும் முழுமையான விதிகள் மற்றும் பல மேம்பாடுகள் ஆகியவற்றின் காரணமாக OSSEC இன் தொடர்ச்சியாக Wazuh பார்க்கப்படுகிறது.

நன்மைகள்

  • பிரபலமான SIEM OSSEC ஐ அடிப்படையாகக் கொண்டது மற்றும் இணக்கமானது;
  • பல்வேறு நிறுவல் விருப்பங்களை ஆதரிக்கிறது: டோக்கர், பப்பட், செஃப், அன்சிபிள்;
  • AWS மற்றும் Azure உட்பட கிளவுட் சேவைகளை கண்காணிப்பதை ஆதரிக்கிறது;
  • பல வகையான தாக்குதல்களைக் கண்டறிவதற்கான விரிவான விதிகளின் தொகுப்பை உள்ளடக்கியது மற்றும் PCI DSS v3.1 மற்றும் CIS ஆகியவற்றிற்கு ஏற்ப அவற்றை ஒப்பிட்டுப் பார்க்க உங்களை அனுமதிக்கிறது.
  • நிகழ்வு காட்சிப்படுத்தல் மற்றும் API ஆதரவுக்காக ஸ்ப்ளங்க் பதிவு சேமிப்பு மற்றும் பகுப்பாய்வு அமைப்புடன் ஒருங்கிணைக்கிறது.

குறைபாடுகளை

  • சிக்கலான கட்டிடக்கலை - Wazuh பின்தள கூறுகளுடன் கூடுதலாக ஒரு முழு மீள் அடுக்கு வரிசைப்படுத்தல் தேவைப்படுகிறது.

மூல

முன்னுரை OS

5 திறந்த மூல பாதுகாப்பு நிகழ்வு மேலாண்மை அமைப்புகள்

Prelude OSS என்பது பிரெஞ்சு நிறுவனமான CS ஆல் உருவாக்கப்பட்ட வணிக ப்ரீலூட் SIEM இன் திறந்த மூலப் பதிப்பாகும். தீர்வு ஒரு நெகிழ்வான, மட்டு SIEM அமைப்பாகும், இது பல பதிவு வடிவங்களை ஆதரிக்கிறது, OSSEC, Snort மற்றும் Suricata நெட்வொர்க் கண்டறிதல் அமைப்பு போன்ற மூன்றாம் தரப்பு கருவிகளுடன் ஒருங்கிணைக்கிறது.

ஒவ்வொரு நிகழ்வும் IDMEF வடிவமைப்பைப் பயன்படுத்தி ஒரு செய்தியாக இயல்பாக்கப்படுகிறது, இது மற்ற அமைப்புகளுடன் தரவு பரிமாற்றத்தை எளிதாக்குகிறது. ஆனால் களிம்பில் ஒரு ஈ உள்ளது - Prelude SIEM இன் வணிகப் பதிப்போடு ஒப்பிடும்போது செயல்திறன் மற்றும் செயல்பாட்டில் Prelude OSS மிகவும் குறைவாகவே உள்ளது, மேலும் இது சிறிய திட்டங்களுக்கு அல்லது SIEM தீர்வுகளைப் படிப்பதற்கும் ப்ரீலூட் SIEM ஐ மதிப்பிடுவதற்கும் அதிகமாக வடிவமைக்கப்பட்டுள்ளது.

நன்மைகள்

  • 1998 முதல் உருவாக்கப்பட்டது நேரம்-சோதனை அமைப்பு;
  • பல்வேறு பதிவு வடிவங்களை ஆதரிக்கிறது;
  • IMDEF வடிவமைப்பிற்கு தரவை இயல்பாக்குகிறது, மற்ற பாதுகாப்பு அமைப்புகளுக்கு தரவை மாற்றுவதை எளிதாக்குகிறது.

குறைபாடுகளை

  • மற்ற திறந்த மூல SIEM அமைப்புகளுடன் ஒப்பிடும்போது செயல்பாடு மற்றும் செயல்திறனில் குறிப்பிடத்தக்க அளவில் வரையறுக்கப்பட்டுள்ளது.

மூல

சாகன்

5 திறந்த மூல பாதுகாப்பு நிகழ்வு மேலாண்மை அமைப்புகள்

சாகன் ஒரு உயர் செயல்திறன் கொண்ட SIEM ஆகும், இது Snort உடன் இணக்கத்தன்மையை வலியுறுத்துகிறது. Snort க்காக எழுதப்பட்ட விதிகளை ஆதரிப்பதுடன், Sagan Snort தரவுத்தளத்தில் எழுதலாம் மற்றும் Shuil இடைமுகத்துடன் கூட பயன்படுத்தலாம். முக்கியமாக, இது ஒரு இலகுரக மல்டி-த்ரெட் தீர்வாகும், இது Snort பயனர்களுக்கு நட்பாக இருக்கும் போது புதிய அம்சங்களை வழங்குகிறது.

நன்மைகள்

  • Snort தரவுத்தளம், விதிகள் மற்றும் பயனர் இடைமுகத்துடன் முழுமையாக இணக்கமானது;
  • மல்டி-த்ரெட் கட்டிடக்கலை உயர் செயல்திறனை வழங்குகிறது.

குறைபாடுகளை

  • ஒரு சிறிய சமூகத்துடன் ஒப்பீட்டளவில் இளம் திட்டம்;
  • முழு SIEM ஐ மூலத்திலிருந்து உருவாக்குவதை உள்ளடக்கிய ஒரு சிக்கலான நிறுவல் செயல்முறை.

மூல

முடிவுக்கு

விவரிக்கப்பட்ட ஒவ்வொரு SIEM அமைப்புகளும் அதன் சொந்த குணாதிசயங்கள் மற்றும் வரம்புகளைக் கொண்டுள்ளன, எனவே அவற்றை எந்தவொரு நிறுவனத்திற்கும் உலகளாவிய தீர்வு என்று அழைக்க முடியாது. இருப்பினும், இந்த தீர்வுகள் திறந்த மூலமாகும், அதிக செலவுகள் இல்லாமல் அவற்றை பயன்படுத்தவும், சோதிக்கவும் மற்றும் மதிப்பீடு செய்யவும் அனுமதிக்கிறது.

வலைப்பதிவில் நீங்கள் வேறு என்ன படிக்கலாம்? Cloud4Y

முழு கிரகத்தின் VNIITE: சோவியத் ஒன்றியத்தில் "ஸ்மார்ட் ஹோம்" அமைப்பு எவ்வாறு கண்டுபிடிக்கப்பட்டது
நரம்பியல் இடைமுகங்கள் மனிதகுலத்திற்கு எவ்வாறு உதவுகின்றன
ரஷ்ய சந்தையில் சைபர் காப்பீடு
ஒளி, கேமரா... மேகம்: திரைப்படத் துறையை மேகங்கள் எப்படி மாற்றுகின்றன
மேகங்களில் கால்பந்து - ஃபேஷன் அல்லது தேவையா?

எங்கள் குழுசேர் தந்தி- சேனல், அடுத்த கட்டுரையைத் தவறவிடாமல் இருக்க! நாங்கள் வாரத்திற்கு இரண்டு முறைக்கு மேல் எழுதுவதில்லை மற்றும் வணிகத்தில் மட்டுமே எழுதுகிறோம்.

ஆதாரம்: www.habr.com