Мутахассиси хуби амнияти IT аз мутахассиси оддӣ чӣ фарқ дорад? Не, на аз он сабаб, ки ӯ метавонад дар ҳар лаҳза шумораи паёмҳоеро, ки дирӯз мудир Игор ба ҳамкораш Мария фиристодааст, аз хотира номбар кунад. Мутахассиси хуби амният мекӯшад, ки вайронкуниҳои имконпазирро пешакӣ муайян кунад ва онҳоро дар вақти воқеӣ дастгир кунад ва тамоми кӯшишро ба харҷ медиҳад, ки ин ҳодиса идома наёбад. Системаҳои идоракунии рӯйдодҳои амниятӣ (SIEM, аз иттилооти амниятӣ ва идоракунии рӯйдодҳо) вазифаи зуд сабт ва бастани ҳама гуна қонуншиканиҳои кӯшишшударо хеле содда мекунанд.
Одатан, системаҳои SIEM системаи идоракунии амнияти иттилоотӣ ва системаи идоракунии рӯйдодҳои амниятро муттаҳид мекунанд. Хусусияти муҳими системаҳо таҳлили рӯйдодҳои амниятӣ дар вақти воқеӣ мебошад, ки ба шумо имкон медиҳад, ки пеш аз рух додани зарари мавҷуда ба онҳо посух диҳед.
Вазифаҳои асосии системаҳои SIEM:
- Ҷамъоварии маълумот ва нормализатсия
- Муносибати маълумот
- Огоҳӣ
- Панелҳои визуалӣ
- Ташкили нигоҳдории маълумот
- Ҷустуҷӯ ва таҳлили маълумот
- Ҳисобот
Сабабҳои талабот ба системаҳои SIEM
Вақтҳои охир мураккабӣ ва ҳамоҳангсозии ҳамлаҳо ба системаҳои иттилоотӣ хеле афзоиш ёфтааст. Дар баробари ин, маҷмӯи воситаҳои амнияти иттилоотӣ, ки истифода мешаванд, низ мураккабтар мешаванд - системаҳои ошкоркунии ҳамлаҳои шабакавӣ ва ҳост, системаҳои DLP, системаҳои антивирусӣ ва деворҳои девор, сканерҳои осебпазирӣ ва ғайра. Ҳар як асбоби амниятӣ ҷараёни рӯйдодҳоро бо сатҳҳои гуногуни тафсилот тавлид мекунад ва аксар вақт ҳамларо танҳо тавассути рӯйдодҳои такрории системаҳои гуногун дидан мумкин аст.
Дар бораи ҳама гуна системаҳои тиҷоратии SIEM бисёр чизҳо вуҷуд доранд , аммо мо шарҳи мухтасари системаҳои озод ва мукаммали кушодаи SIEM-ро пешниҳод менамоем, ки дар шумораи корбарон ё ҳаҷми маълумоти қабулшудаи ҳифзшуда маҳдудиятҳои сунъӣ надоранд ва инчунин ба осонӣ миқёспазир ва дастгирӣ мешаванд. Мо умедворем, ки ин ба арзёбии иқтидори чунин системаҳо ва муайян кардани он, ки оё чунин қарорҳо ба равандҳои тиҷоратии ширкат дохил мешаванд ё не.
AlienVault OSSIM
AlienVault OSSIM як версияи кушодаи AlienVault USM мебошад, ки яке аз системаҳои пешбари тиҷоратии SIEM мебошад. OSSIM чаҳорчӯбаест, ки аз якчанд лоиҳаҳои кушодаасос, аз ҷумла системаи ошкоркунии ҳамлаи шабакаи Snort, системаи мониторинги шабакаи Nagios ва ҳост, системаи ошкоркунии ҳамла дар асоси OSSEC ва сканери осебпазирии OpenVAS иборат аст.
Барои мониторинги дастгоҳҳо, агенти AlienVault истифода мешавад, ки гузоришҳоро аз мизбон дар формати syslog ба платформаи GELF мефиристад ё плагинро барои ҳамгироӣ бо хидматҳои тарафи сеюм, ба монанди хидмати проксии баръакси вебсайти Cloudflare ё Окта мултимедиявӣ истифода бурдан мумкин аст. -системаи аутентификатсияи омил.
Версияи USM аз OSSIM бо функсияҳои мукаммали идоракунии гузоришҳо, мониторинги инфрасохтори абрӣ, автоматизатсия ва иттилоот ва визуализатсияи навшудаи таҳдидҳо фарқ мекунад.
афзалияти
- Дар асоси лоиҳаҳои исботшудаи кушодаасос сохта шудаанд;
- Ҷамъияти калони корбарон ва таҳиягарон.
Нобудӣ
- Мониторинги платформаҳои абриро дастгирӣ намекунад (масалан, AWS ё Azure);
- Идоракунии гузоришҳо, визуализатсия, автоматизатсия ё ҳамгироӣ бо хидматҳои тарафи сеюм вуҷуд надорад.
MozDef (Платформаи мудофиаи Mozilla)
Системаи MozDef SIEM, ки аз ҷониби Mozilla таҳия шудааст, барои автоматикунонии равандҳои коркарди ҳодисаҳои амниятӣ истифода мешавад. Система аз замин то ба даст овардани ҳадди аксар кор, миқёспазирӣ ва таҳаммулпазирии хатогиҳо бо меъмории микросервис тарҳрезӣ шудааст - ҳар як хидмат дар контейнери Docker кор мекунад.
Мисли OSSIM, MozDef дар лоиҳаҳои кушодаасос, аз ҷумла индексатсия ва модули ҷустуҷӯи Elasticsearch, платформаи Meteor барои сохтани интерфейси чандири веб ва плагини Kibana барои визуализатсия ва нақшакашӣ сохта шудааст.
Таносуби рӯйдодҳо ва ҳушдордиҳӣ бо истифода аз дархостҳои Elasticsearch анҷом дода мешавад, ки ба шумо имкон медиҳад қоидаҳои коркарди ҳодиса ва огоҳии худро бо истифода аз Python нависед. Мувофиқи маълумоти Mozilla, MozDef метавонад дар як рӯз зиёда аз 300 миллион рӯйдодҳоро коркард кунад. MozDef танҳо рӯйдодҳоро дар формати JSON қабул мекунад, аммо ҳамгироӣ бо хидматҳои тарафи сеюм вуҷуд дорад.
афзалияти
- Агентҳоро истифода намебарад - бо гузоришҳои стандартии JSON кор мекунад;
- Ба туфайли меъмории микросервис ба осонӣ миқёс кунед;
- Манбаъҳои додаҳои хидматрасонии абриро, аз ҷумла AWS CloudTrail ва GuardDuty -ро дастгирӣ мекунад.
Нобудӣ
- Системаи нав ва камтар муқарраршуда.
Вазух
Wazuh таҳияро ҳамчун як порчаи OSSEC, яке аз маъмултарин SIEM-ҳои кушодаасос оғоз кард. Ва ҳоло он як ҳалли беназири худ бо функсияҳои нав, ислоҳи хатогиҳо ва меъмории оптимизатсияшуда мебошад.
Система дар стеки ElasticStack (Elasticsearch, Logstash, Kibana) сохта шудааст ва ҳам ҷамъоварии маълумот дар асоси агент ва ҳам интиқоли сабти системаро дастгирӣ мекунад. Ин онро барои дастгоҳҳои мониторинг, ки гузоришҳо тавлид мекунанд, аммо насби агентро дастгирӣ намекунанд - дастгоҳҳои шабакавӣ, принтерҳо ва перифериҳоро самаранок мегардонад.
Wazuh агентҳои мавҷудаи OSSEC-ро дастгирӣ мекунад ва ҳатто дар бораи муҳоҷират аз OSSEC ба Wazuh роҳнамоӣ медиҳад. Гарчанде ки OSSEC то ҳол фаъолона дастгирӣ карда мешавад, Wazuh ҳамчун идомаи OSSEC аз ҳисоби илова кардани интерфейси нави веб, REST API, маҷмӯи мукаммали қоидаҳо ва бисёр беҳбудиҳои дигар баррасӣ мешавад.
афзалияти
- Дар асоси ва мувофиқ бо маъмули SIEM OSSEC;
- Имкониятҳои гуногуни насбро дастгирӣ мекунад: Docker, Puppet, Chef, Ansible;
- Мониторинги хидматҳои абрӣ, аз ҷумла AWS ва Azure -ро дастгирӣ мекунад;
- Маҷмӯи ҳамаҷонибаи қоидаҳоро барои ошкор кардани намудҳои сершумори ҳамлаҳо дар бар мегирад ва ба шумо имкон медиҳад, ки онҳоро мувофиқи PCI DSS v3.1 ва ИДМ муқоиса кунед.
- Бо системаи нигоҳдорӣ ва таҳлили гузоришҳои Splunk барои визуализатсияи рӯйдодҳо ва дастгирии API ҳамгиро мешавад.
Нобудӣ
- Меъмории мураккаб - илова ба ҷузъҳои пуштибонии Wazuh ҷойгиркунии пурраи Elastic Stack -ро талаб мекунад.
Prelude OS
Prelude OSS як версияи кушодаи Prelude SIEM-и тиҷоратӣ мебошад, ки аз ҷониби ширкати фаронсавии CS таҳия шудааст. Ҳалли як системаи фасеҳ ва модулии SIEM мебошад, ки форматҳои сершумори сабт, ҳамгироӣ бо абзорҳои тарафи сеюм ба монанди OSSEC, Snort ва системаи муайянкунии шабакаи Suricata -ро дастгирӣ мекунад.
Ҳар як ҳодиса бо истифода аз формати IDMEF ба паём муқаррар карда мешавад, ки мубодилаи маълумотро бо дигар системаҳо осон мекунад. Аммо дар атрафшон пашша вуҷуд дорад - Prelude OSS дар муқоиса бо версияи тиҷоратии Prelude SIEM аз ҷиҳати фаъолият ва функсия хеле маҳдуд аст ва бештар барои лоиҳаҳои хурд ё омӯзиши қарорҳои SIEM ва арзёбии Prelude SIEM пешбинӣ шудааст.
афзалияти
- Системаи бо вақт санҷидашуда, ки аз соли 1998 таҳия шудааст;
- Форматҳои гуногуни гузоришҳоро дастгирӣ мекунад;
- Маълумотро ба формати IMDEF муқаррар мекунад ва интиқоли маълумотро ба дигар системаҳои амниятӣ осон мекунад.
Нобудӣ
- Дар муқоиса бо дигар системаҳои SIEM-и кушодаасос дар фаъолият ва иҷроиш ба таври назаррас маҳдуд аст.
Саган
Sagan як SIEM-и баландсифат аст, ки мутобиқатро бо Snort таъкид мекунад. Илова ба қоидаҳои дастгирӣ, ки барои Snort навишта шудааст, Саган метавонад ба пойгоҳи додаҳои Snort нависад ва ҳатто метавонад бо интерфейси Shuil истифода шавад. Аслан, он як ҳалли сабуки бисёрсоҳавӣ мебошад, ки хусусиятҳои навро пешниҳод мекунад ва дар ҳоле ки барои корбарони Snort дӯстона боқӣ мемонад.
афзалияти
- Бо пойгоҳи додаҳои Snort, қоидаҳо ва интерфейси корбар комилан мувофиқ аст;
- Меъмории бисёрсоҳавӣ иҷрои баландро таъмин мекунад.
Нобудӣ
- Лоиҳаи нисбатан ҷавон бо ҷомеаи хурд;
- Раванди мураккаби насбкунӣ, ки сохтани тамоми SIEM аз манбаъро дар бар мегирад.
хулоса
Ҳар яке аз системаҳои тавсифшудаи SIEM дорои хусусиятҳо ва маҳдудиятҳои ба худ хос аст, бинобар ин онҳоро барои ягон созмон ҳалли универсалӣ номидан мумкин нест. Аммо, ин қарорҳо манбаи кушода буда, имкон медиҳанд, ки онҳо бидуни хароҷоти зиёдатӣ истифода шаванд, санҷида шаванд ва арзёбӣ карда шаванд.
Боз чӣ ҷолибро дар блог хонда метавонед?
→
→
→
→
→
Ба мо обуна шавед -канал то мақолаи ояндаро аз даст надиҳед! Мо на бештар аз ду маротиба дар як ҳафта ва танҳо дар бораи тиҷорат менависем.
Манбаъ: will.com