Paano naiiba ang isang mahusay na espesyalista sa seguridad ng IT mula sa isang ordinaryong? Hindi, hindi sa katotohanan na sa anumang oras ay maaari niyang pangalanan mula sa memorya ang bilang ng mga mensahe na ipinadala ng manager na si Igor kahapon sa kanyang kasamahan na si Maria. Sinusubukan ng isang mahusay na espesyalista sa seguridad na tukuyin ang mga posibleng paglabag nang maaga at mahuli ang mga ito sa real time, na ginagawa ang lahat ng pagsisikap upang matiyak na ang insidente ay hindi magpapatuloy. Ang mga sistema ng pamamahala ng kaganapan sa seguridad (SIEM, mula sa Impormasyon sa Seguridad at pamamahala ng kaganapan) ay lubos na pinasimple ang gawain ng mabilis na pag-record at pagharang ng anumang mga pagtatangkang paglabag.
Ayon sa kaugalian, pinagsasama ng mga sistema ng SIEM ang isang sistema ng pamamahala ng seguridad ng impormasyon at isang sistema ng pamamahala ng kaganapan sa seguridad. Ang isang mahalagang tampok ng mga system ay ang pagsusuri ng mga kaganapan sa seguridad sa real time, na nagbibigay-daan sa iyong tumugon sa mga ito bago mangyari ang umiiral na pinsala.
Mga pangunahing gawain ng mga sistema ng SIEM:
- Pangongolekta at normalisasyon ng data
- Kaugnayan ng Data
- Alerto
- Mga panel ng visualization
- Organisasyon ng imbakan ng data
- Paghahanap at Pagsusuri ng Data
- Pag-uulat
Mga dahilan para sa mataas na pangangailangan para sa mga sistema ng SIEM
Kamakailan, ang pagiging kumplikado at koordinasyon ng mga pag-atake sa mga sistema ng impormasyon ay tumaas nang malaki. Kasabay nito, nagiging mas kumplikado rin ang kumplikadong mga tool sa seguridad ng impormasyonβmga sistema ng pagtuklas ng panghihimasok na nakabatay sa network at host, mga sistema ng DLP, mga sistema ng anti-virus at mga firewall, mga scanner ng kahinaan, atbp. Ang bawat tool sa seguridad ay bumubuo ng isang stream ng mga kaganapan na may iba't ibang antas ng detalye, at kadalasan ang isang pag-atake ay makikita lamang sa pamamagitan ng mga magkakapatong na kaganapan mula sa iba't ibang mga system.
Marami ang tungkol sa lahat ng uri ng mga komersyal na sistema ng SIEM , ngunit nag-aalok kami ng maikling pangkalahatang-ideya ng libre, ganap na open source na mga sistema ng SIEM na walang mga artipisyal na paghihigpit sa bilang ng mga user o dami ng tinatanggap na naka-imbak na data, at madali ring nasusukat at sinusuportahan. Umaasa kaming makakatulong ito sa pagtatasa ng potensyal ng naturang mga sistema at magpasya kung ang mga naturang solusyon ay nagkakahalaga ng pagsasama sa mga proseso ng negosyo ng kumpanya.
AlienVault OSSIM
Ang AlienVault OSSIM ay isang open-source na bersyon ng AlienVault USM, isa sa mga nangungunang komersyal na SIEM system. Ang OSSIM ay isang framework na binubuo ng ilang open source na proyekto, kabilang ang Snort network intrusion detection system, ang Nagios network at host monitoring system, ang OSSEC host-based intrusion detection system, at ang OpenVAS vulnerability scanner.
Upang subaybayan ang mga device, ginagamit ang AlienVault Agent, na nagpapadala ng mga log mula sa host sa format na syslog sa GELF platform, o maaaring gamitin ang isang plugin para sa pagsasama sa mga serbisyo ng third-party, tulad ng serbisyo ng reverse proxy ng website ng Cloudflare o ang Okta multi -factor authentication system.
Ang bersyon ng USM ay naiiba sa OSSIM na may pinahusay na paggana para sa pamamahala ng log, pagsubaybay sa imprastraktura ng ulap, automation, at na-update na impormasyon at visualization ng pagbabanta.
Kalamangan
- Itinayo sa mga napatunayang open-source na proyekto;
- Malaking komunidad ng mga user at developer.
Mga hangganan
- Hindi sinusuportahan ang pagsubaybay sa mga cloud platform (halimbawa, AWS o Azure);
- Walang log management, visualization, automation o integration sa mga third-party na serbisyo.
MozDef (Mozilla Defense Platform)
Ang sistema ng MozDef SIEM na binuo ng Mozilla ay ginagamit upang i-automate ang mga proseso ng pagproseso ng insidente sa seguridad. Idinisenyo ang system mula sa simula upang makamit ang maximum na performance, scalability at fault tolerance, na may microservice architecture - tumatakbo ang bawat serbisyo sa isang Docker container.
Tulad ng OSSIM, ang MozDef ay binuo sa mga proyektong open source na sinubok na sa oras, kabilang ang Elasticsearch log indexing at search module, ang Meteor platform para sa pagbuo ng flexible na web interface, at ang Kibana plugin para sa visualization at plotting.
Isinasagawa ang ugnayan at pag-alerto ng kaganapan gamit ang mga query sa Elasticsearch, na nagbibigay-daan sa iyong magsulat ng sarili mong mga panuntunan sa pagproseso at pag-alerto ng kaganapan gamit ang Python. Ayon sa Mozilla, ang MozDef ay maaaring magproseso ng higit sa 300 milyong mga kaganapan bawat araw. Ang MozDef ay tumatanggap lamang ng mga kaganapan sa JSON na format, ngunit mayroong pagsasama sa mga serbisyo ng third-party.
Kalamangan
- Hindi gumagamit ng mga ahente - gumagana sa karaniwang mga log ng JSON;
- Madaling nasusukat salamat sa arkitektura ng microservice;
- Sinusuportahan ang mga mapagkukunan ng data ng serbisyo sa cloud kabilang ang AWS CloudTrail at GuardDuty.
Mga hangganan
- Bago at hindi gaanong itinatag na sistema.
Wazuh
Sinimulan ni Wazuh ang pagbuo bilang isang tinidor ng OSSEC, isa sa pinakasikat na open source na SIEM. At ngayon ito ay sarili nitong natatanging solusyon na may bagong pag-andar, pag-aayos ng bug at na-optimize na arkitektura.
Ang system ay binuo sa ElasticStack stack (Elasticsearch, Logstash, Kibana) at sumusuporta sa parehong agent-based na pagkolekta ng data at system log ingestion. Ginagawa nitong epektibo para sa pagsubaybay sa mga device na bumubuo ng mga log ngunit hindi sumusuporta sa pag-install ng ahente - mga network device, printer at peripheral.
Sinusuportahan ng Wazuh ang mga kasalukuyang ahente ng OSSEC at nagbibigay pa nga ng gabay sa paglipat mula sa OSSEC patungong Wazuh. Bagama't aktibong sinusuportahan pa rin ang OSSEC, ang Wazuh ay nakikita bilang isang pagpapatuloy ng OSSEC dahil sa pagdaragdag ng isang bagong web interface, REST API, isang mas kumpletong hanay ng mga panuntunan, at marami pang mga pagpapabuti.
Kalamangan
- Batay sa at tugma sa sikat na SIEM OSSEC;
- Sinusuportahan ang iba't ibang mga opsyon sa pag-install: Docker, Puppet, Chef, Ansible;
- Sinusuportahan ang pagsubaybay sa mga serbisyo ng ulap, kabilang ang AWS at Azure;
- May kasamang komprehensibong hanay ng mga panuntunan para makakita ng maraming uri ng pag-atake at nagbibigay-daan sa iyong paghambingin ang mga ito alinsunod sa PCI DSS v3.1 at CIS.
- Sumasama sa Splunk log storage at analysis system para sa visualization ng kaganapan at suporta sa API.
Mga hangganan
- Kumplikadong arkitektura - nangangailangan ng buong Elastic Stack deployment bilang karagdagan sa mga bahagi ng backend ng Wazuh.
Prelude OS
Ang Prelude OSS ay isang open-source na bersyon ng komersyal na Prelude SIEM, na binuo ng French company na CS. Ang solusyon ay isang nababaluktot, modular na SIEM system na sumusuporta sa maramihang mga format ng log, pagsasama sa mga tool ng third-party gaya ng OSSEC, Snort at ang Suricata network detection system.
Ang bawat kaganapan ay na-normalize sa isang mensahe gamit ang IDMEF na format, na pinapasimple ang pagpapalitan ng data sa ibang mga system. Ngunit mayroong isang langaw sa pamahid - Ang Prelude OSS ay napakalimitado sa pagganap at functionality kumpara sa komersyal na bersyon ng Prelude SIEM, at mas inilaan para sa maliliit na proyekto o para sa pag-aaral ng mga solusyon sa SIEM at pagsusuri ng Prelude SIEM.
Kalamangan
- Time-tested system, na binuo mula noong 1998;
- Sinusuportahan ang maraming iba't ibang mga format ng log;
- Nag-normalize ng data sa IMDEF na format, na ginagawang madali ang paglipat ng data sa iba pang mga sistema ng seguridad.
Mga hangganan
- Lubos na limitado sa functionality at performance kumpara sa iba pang open-source na SIEM system.
Sagan
Ang Sagan ay isang high-performance na SIEM na nagbibigay-diin sa pagiging tugma sa Snort. Bilang karagdagan sa pagsuporta sa mga panuntunang isinulat para sa Snort, maaaring sumulat si Sagan sa database ng Snort at maaari pang gamitin sa interface ng Shuil. Mahalaga, ito ay isang magaan na multi-threaded na solusyon na nag-aalok ng mga bagong feature habang nananatiling friendly sa mga user ng Snort.
Kalamangan
- Ganap na katugma sa Snort database, mga panuntunan, at user interface;
- Ang multi-threaded architecture ay nagbibigay ng mataas na pagganap.
Mga hangganan
- Isang medyo batang proyekto na may maliit na komunidad;
- Isang kumplikadong proseso ng pag-install na kinabibilangan ng pagbuo ng buong SIEM mula sa pinagmulan.
Konklusyon
Ang bawat isa sa mga inilarawang sistema ng SIEM ay may sariling mga katangian at limitasyon, kaya hindi sila matatawag na isang unibersal na solusyon para sa anumang organisasyon. Gayunpaman, open source ang mga solusyong ito, na nagbibigay-daan sa mga ito na ma-deploy, masuri, at masuri nang hindi nagkakaroon ng labis na gastos.
Ano pang interesante ang mababasa mo sa blog?
β
β
β
β
β
Mag-subscribe sa aming -channel, para hindi makaligtaan ang susunod na artikulo! Nagsusulat kami ng hindi hihigit sa dalawang beses sa isang linggo at sa negosyo lamang.
Pinagmulan: www.habr.com