ผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีที่ดีแตกต่างจากผู้เชี่ยวชาญด้านความปลอดภัยทั่วไปอย่างไร ไม่ ไม่ใช่ความจริงที่ว่าในเวลาใดก็ตามเขาสามารถตั้งชื่อจากหน่วยความจำถึงจำนวนข้อความที่ผู้จัดการอิกอร์ส่งเมื่อวานนี้ถึงมาเรียเพื่อนร่วมงานของเขา ผู้เชี่ยวชาญด้านความปลอดภัยที่ดีจะพยายามระบุการละเมิดที่อาจเกิดขึ้นล่วงหน้าและตรวจจับได้แบบเรียลไทม์ โดยใช้ความพยายามทุกวิถีทางเพื่อให้แน่ใจว่าเหตุการณ์จะไม่ดำเนินต่อไป ระบบการจัดการเหตุการณ์ด้านความปลอดภัย (SIEM จากข้อมูลความปลอดภัยและการจัดการเหตุการณ์) ช่วยให้การบันทึกและบล็อกการละเมิดความพยายามใดๆ เกิดขึ้นได้อย่างรวดเร็ว
เดิมที ระบบ SIEM จะรวมระบบการจัดการความปลอดภัยของข้อมูลและระบบการจัดการเหตุการณ์ด้านความปลอดภัยเข้าด้วยกัน คุณสมบัติที่สำคัญของระบบคือการวิเคราะห์เหตุการณ์ด้านความปลอดภัยแบบเรียลไทม์ ซึ่งช่วยให้คุณตอบสนองต่อเหตุการณ์เหล่านั้นก่อนที่ความเสียหายที่มีอยู่จะเกิดขึ้น
งานหลักของระบบ SIEM:
- การรวบรวมข้อมูลและการทำให้เป็นมาตรฐาน
- ความสัมพันธ์ของข้อมูล
- เตือน
- แผงการแสดงภาพ
- องค์กรของการจัดเก็บข้อมูล
- การค้นหาและวิเคราะห์ข้อมูล
- การรายงาน
สาเหตุที่ทำให้ระบบ SIEM มีความต้องการสูง
เมื่อเร็ว ๆ นี้ความซับซ้อนและการประสานงานของการโจมตีระบบข้อมูลได้เพิ่มขึ้นอย่างมาก ในเวลาเดียวกัน เครื่องมือรักษาความปลอดภัยข้อมูลที่ซับซ้อนที่ใช้ก็มีความซับซ้อนมากขึ้น เช่น ระบบตรวจจับการบุกรุกบนเครือข่ายและโฮสต์ ระบบ DLP ระบบป้องกันไวรัสและไฟร์วอลล์ เครื่องสแกนช่องโหว่ ฯลฯ เครื่องมือรักษาความปลอดภัยแต่ละตัวจะสร้างกระแสของเหตุการณ์ที่มีระดับรายละเอียดที่แตกต่างกัน และบ่อยครั้งการโจมตีสามารถมองเห็นได้จากเหตุการณ์ที่ทับซ้อนกันจากระบบที่แตกต่างกันเท่านั้น
มีมากมายเกี่ยวกับระบบ SIEM เชิงพาณิชย์ทุกประเภท แต่เรานำเสนอภาพรวมโดยย่อของระบบ SIEM แบบโอเพ่นซอร์สเต็มรูปแบบฟรี ซึ่งไม่มีข้อจำกัดปลอมเกี่ยวกับจำนวนผู้ใช้หรือปริมาณข้อมูลที่จัดเก็บที่ยอมรับ และยังปรับขนาดและรองรับได้อย่างง่ายดายอีกด้วย เราหวังว่าสิ่งนี้จะช่วยประเมินศักยภาพของระบบดังกล่าวและตัดสินใจว่าโซลูชันดังกล่าวคุ้มค่าที่จะรวมเข้ากับกระบวนการทางธุรกิจของบริษัทหรือไม่
AlienVault OSSIM
AlienVault OSSIM เป็นเวอร์ชันโอเพ่นซอร์สของ AlienVault USM ซึ่งเป็นหนึ่งในระบบ SIEM เชิงพาณิชย์ชั้นนำ OSSIM เป็นเฟรมเวิร์กที่ประกอบด้วยโครงการโอเพ่นซอร์สหลายโครงการ รวมถึงระบบตรวจจับการบุกรุกเครือข่าย Snort, เครือข่าย Nagios และระบบตรวจสอบโฮสต์, ระบบตรวจจับการบุกรุกบนโฮสต์ OSSEC และเครื่องสแกนช่องโหว่ OpenVAS
ในการตรวจสอบอุปกรณ์ จะใช้ AlienVault Agent ซึ่งจะส่งบันทึกจากโฮสต์ในรูปแบบ syslog ไปยังแพลตฟอร์ม GELF หรือสามารถใช้ปลั๊กอินเพื่อรวมเข้ากับบริการของบุคคลที่สาม เช่น บริการพร็อกซีย้อนกลับของเว็บไซต์ Cloudflare หรือ Okta multi - ระบบตรวจสอบสิทธิ์ปัจจัย
เวอร์ชัน USM แตกต่างจาก OSSIM โดยมีฟังก์ชันที่ได้รับการปรับปรุงสำหรับการจัดการบันทึก การตรวจสอบโครงสร้างพื้นฐานคลาวด์ ระบบอัตโนมัติ และข้อมูลภัยคุกคามที่อัปเดตและการแสดงภาพ
ข้อดี
- สร้างขึ้นจากโครงการโอเพ่นซอร์สที่ได้รับการพิสูจน์แล้ว
- ชุมชนผู้ใช้และนักพัฒนาขนาดใหญ่
ข้อ จำกัด
- ไม่รองรับการตรวจสอบแพลตฟอร์มคลาวด์ (เช่น AWS หรือ Azure)
- ไม่มีการจัดการบันทึก การแสดงภาพ ระบบอัตโนมัติ หรือการผสานรวมกับบริการของบุคคลที่สาม
MozDef (แพลตฟอร์มป้องกัน Mozilla)
ระบบ MozDef SIEM ที่พัฒนาโดย Mozilla ใช้เพื่อทำให้กระบวนการประมวลผลเหตุการณ์ด้านความปลอดภัยเป็นไปโดยอัตโนมัติ ระบบได้รับการออกแบบตั้งแต่ต้นจนจบเพื่อให้ได้ประสิทธิภาพสูงสุด ความสามารถในการปรับขนาด และความทนทานต่อข้อผิดพลาด ด้วยสถาปัตยกรรมไมโครเซอร์วิส แต่ละบริการจะทำงานในคอนเทนเนอร์ Docker
เช่นเดียวกับ OSSIM MozDef สร้างขึ้นจากโครงการโอเพ่นซอร์สที่ผ่านการทดสอบตามเวลา ซึ่งรวมถึงการสร้างดัชนีบันทึกและโมดูลการค้นหาของ Elasticsearch แพลตฟอร์ม Meteor สำหรับการสร้างอินเทอร์เฟซเว็บที่ยืดหยุ่น และปลั๊กอิน Kibana สำหรับการแสดงภาพและการวางแผน
ความสัมพันธ์และการแจ้งเตือนเหตุการณ์ดำเนินการโดยใช้คำค้นหา Elasticsearch ซึ่งช่วยให้คุณเขียนกฎการประมวลผลเหตุการณ์และการแจ้งเตือนของคุณเองโดยใช้ Python จากข้อมูลของ Mozilla MozDef สามารถประมวลผลเหตุการณ์ได้มากกว่า 300 ล้านเหตุการณ์ต่อวัน MozDef ยอมรับเฉพาะกิจกรรมในรูปแบบ JSON แต่มีการผสานรวมกับบริการของบุคคลที่สาม
ข้อดี
- ไม่ใช้ตัวแทน - ใช้งานได้กับบันทึก JSON มาตรฐาน
- ปรับขนาดได้อย่างง่ายดายด้วยสถาปัตยกรรมไมโครเซอร์วิส
- รองรับแหล่งข้อมูลบริการคลาวด์ รวมถึง AWS CloudTrail และ GuardDuty
ข้อ จำกัด
- ระบบใหม่และเป็นที่ยอมรับน้อย
วาซู
Wazuh เริ่มการพัฒนาโดยแยกจาก OSSEC ซึ่งเป็นหนึ่งใน SIEM โอเพ่นซอร์สที่ได้รับความนิยมมากที่สุด และตอนนี้มันเป็นโซลูชันที่เป็นเอกลักษณ์ของตัวเองพร้อมฟังก์ชันการทำงานใหม่ การแก้ไขข้อบกพร่อง และสถาปัตยกรรมที่ได้รับการปรับปรุงให้เหมาะสม
ระบบนี้สร้างขึ้นบนสแต็ก ElasticStack (Elasticsearch, Logstash, Kibana) และรองรับทั้งการรวบรวมข้อมูลตามเอเจนต์และการนำเข้าบันทึกของระบบ ทำให้มีประสิทธิภาพในการตรวจสอบอุปกรณ์ที่สร้างบันทึก แต่ไม่รองรับการติดตั้งเอเจนต์ - อุปกรณ์เครือข่าย เครื่องพิมพ์ และอุปกรณ์ต่อพ่วง
Wazuh สนับสนุนตัวแทน OSSEC ที่มีอยู่และยังให้คำแนะนำในการโยกย้ายจาก OSSEC ไปยัง Wazuh แม้ว่า OSSEC ยังคงได้รับการสนับสนุนอย่างแข็งขัน แต่ Wazuh ก็ถูกมองว่าเป็นความต่อเนื่องของ OSSEC เนื่องจากมีการเพิ่มเว็บอินเทอร์เฟซใหม่ REST API ชุดกฎที่สมบูรณ์ยิ่งขึ้น และการปรับปรุงอื่น ๆ อีกมากมาย
ข้อดี
- อิงและเข้ากันได้กับ SIEM OSSEC ยอดนิยม
- รองรับตัวเลือกการติดตั้งที่หลากหลาย: Docker, Puppet, Chef, Ansible;
- รองรับการตรวจสอบบริการคลาวด์ รวมถึง AWS และ Azure
- รวมชุดกฎที่ครอบคลุมเพื่อตรวจจับการโจมตีหลายประเภท และช่วยให้คุณสามารถเปรียบเทียบได้ตาม PCI DSS v3.1 และ CIS
- ผสานรวมกับระบบจัดเก็บบันทึกและการวิเคราะห์ Splunk สำหรับการแสดงภาพเหตุการณ์และการสนับสนุน API
ข้อ จำกัด
- สถาปัตยกรรมที่ซับซ้อน - ต้องการการปรับใช้ Elastic Stack เต็มรูปแบบ นอกเหนือจากส่วนประกอบแบ็กเอนด์ของ Wazuh
โหมโรง OS
Prelude OSS เป็นเวอร์ชันโอเพ่นซอร์สของ Prelude SIEM เชิงพาณิชย์ที่พัฒนาโดย CS บริษัทสัญชาติฝรั่งเศส โซลูชันนี้คือระบบ SIEM แบบโมดูลาร์ที่ยืดหยุ่น ซึ่งรองรับรูปแบบบันทึกที่หลากหลาย โดยบูรณาการเข้ากับเครื่องมือของบุคคลที่สาม เช่น OSSEC, Snort และระบบตรวจจับเครือข่าย Suricata
แต่ละเหตุการณ์จะถูกทำให้เป็นข้อความมาตรฐานโดยใช้รูปแบบ IDMEF ซึ่งช่วยให้การแลกเปลี่ยนข้อมูลกับระบบอื่นทำได้ง่ายขึ้น แต่มีแมลงวันอยู่ในครีม - Prelude OSS มีข้อ จำกัด ในด้านประสิทธิภาพและฟังก์ชันการทำงานมากเมื่อเทียบกับ Prelude SIEM เวอร์ชันเชิงพาณิชย์ และมีจุดประสงค์มากกว่าสำหรับโครงการขนาดเล็กหรือเพื่อศึกษาโซลูชัน SIEM และประเมิน Prelude SIEM
ข้อดี
- ระบบทดสอบตามเวลา พัฒนาตั้งแต่ปี 1998
- รองรับรูปแบบบันทึกที่แตกต่างกันมากมาย
- ปรับข้อมูลให้เป็นมาตรฐานในรูปแบบ IMDEF ทำให้ง่ายต่อการถ่ายโอนข้อมูลไปยังระบบรักษาความปลอดภัยอื่น ๆ
ข้อ จำกัด
- มีข้อจำกัดในด้านฟังก์ชันการทำงานและประสิทธิภาพอย่างมากเมื่อเทียบกับระบบ SIEM แบบโอเพ่นซอร์สอื่นๆ
เซแกน
Sagan เป็น SIEM ประสิทธิภาพสูงที่เน้นความเข้ากันได้กับ Snort นอกเหนือจากการรองรับกฎที่เขียนขึ้นสำหรับ Snort แล้ว Sagan ยังสามารถเขียนไปยังฐานข้อมูล Snort และยังสามารถใช้กับอินเทอร์เฟซ Shuil ได้ด้วย โดยพื้นฐานแล้ว มันเป็นโซลูชันแบบมัลติเธรดน้ำหนักเบาที่นำเสนอคุณสมบัติใหม่ในขณะที่ยังคงเป็นมิตรกับผู้ใช้ Snort
ข้อดี
- เข้ากันได้กับฐานข้อมูล Snort กฎ และอินเทอร์เฟซผู้ใช้อย่างสมบูรณ์
- สถาปัตยกรรมแบบมัลติเธรดให้ประสิทธิภาพสูง
ข้อ จำกัด
- โครงการที่ค่อนข้างใหม่และมีชุมชนขนาดเล็ก
- กระบวนการติดตั้งที่ซับซ้อนที่เกี่ยวข้องกับการสร้าง SIEM ทั้งหมดจากแหล่งที่มา
ข้อสรุป
ระบบ SIEM ที่อธิบายไว้แต่ละระบบมีลักษณะเฉพาะและข้อจำกัดของตัวเอง ดังนั้นจึงไม่สามารถเรียกได้ว่าเป็นโซลูชันสากลสำหรับองค์กรใดๆ อย่างไรก็ตาม โซลูชันเหล่านี้เป็นโอเพ่นซอร์ส ทำให้สามารถติดตั้ง ทดสอบ และประเมินผลได้โดยไม่มีค่าใช้จ่ายมากเกินไป
คุณสามารถอ่านอะไรที่น่าสนใจอีกในบล็อก?
→
→
→
→
→
สมัครสมาชิกของเรา -channel เพื่อให้คุณไม่พลาดบทความถัดไป! เราเขียนไม่เกินสัปดาห์ละสองครั้งและเขียนเกี่ยวกับธุรกิจเท่านั้น
ที่มา: will.com