Чим хороший безпечник у ІТ-сфері відрізняється від звичайного? Ні, не тим, що він будь-якої миті часу за пам'яттю назве кількість повідомлень, які менеджер Ігор відправив учора колезі Марії. Хороший безпека намагається виявити можливі порушення заздалегідь і відловлювати їх у режимі реального часу, докладаючи всіх сил, щоб не було продовження інциденту. Системи управління подіями безпеки (SIEM, від Security information and event management) значно спрощують завдання швидкої фіксації та блокування будь-яких спроб порушень.
Традиційно SIEM-системи поєднують у собі систему управління інформаційною безпекою та систему управління подіями безпеки. p align="justify"> Важливою особливістю систем є аналіз подій безпеки в реальному часі, що дозволяє реагувати на них до настання існуючої шкоди.
Основні завдання SIEM-систем:
- Збір та нормалізація даних
- Кореляція даних
- оповіщення
- Панелі візуалізації
- Організація зберігання даних
- Пошук та аналіз даних
- Звітність
Причини високого попиту на SIEM-системи
Останнім часом сильно підвищилися складність та координованість атак на інформаційні системи. Разом з тим ускладнюється і комплекс засобів захисту інформації, що застосовується — мережеві та хостові системи виявлення вторгнень, DLP-системи, антивірусні системи та міжмережні екрани, сканери вразливостей та інше. Кожен засіб захисту генерує потік подій з різною деталізацією і найчастіше побачити атаку можна лише з накладення подій із різних систем.
Про всілякі комерційні SIEM-системи багато чого
AlienVault OSSIM
AlienVault OSSIM – це open-source версія AlienVault USM, однієї з провідних комерційних SIEM-систем. OSSIM є фреймворком, що складається з декількох проектів з відкритим вихідним кодом, включаючи мережну систему виявлення вторгнень Snort, систему моніторингу мереж і вузлів Nagios, систему хоста виявлення вторгнень OSSEC і сканер вразливостей OpenVAS.
Для моніторингу за пристроями використовується AlienVault Agent, який відправляє журнали з хоста у форматі syslog в платформу GELF або може використовуватися плагін для інтеграції зі сторонніми сервісами, такими як сервіс реверсного проксіювання сайтів Cloudflare або багатофакторної аутентифікації Okta.
Версія USM відрізняється від OSSIM розширеною функціональністю управління журналами, моніторингу хмарної інфраструктури, автоматизації та оновлюваною інформацією про погрози та візуалізацією.
Переваги
- Побудовано на перевірених open-source проектах;
- Велика спільнота користувачів та розробників.
Недоліки
- Не підтримує моніторинг хмарних платформ (наприклад, AWS чи Azure);
- Відсутнє керування логами, візуалізація, автоматизація та інтеграція зі сторонніми сервісами.
MozDef (Mozilla Defense Platform)
Розроблена Mozilla SIEM-система MozDef використовується для автоматизації процесів обробки інцидентів безпеки. Система розроблена з нуля для отримання максимальної швидкодії, масштабованості та стійкості до відмов, з мікросервісною архітектурою – кожен сервіс працює в контейнері Docker.
Як і OSSIM, MozDef побудована на перевірених часом опенсорсних проектах, що включають модуль індексування логів та пошуку Elasticsearch, платформу Meteor для побудови гнучкого web-інтерфейсу, та плагін Kibana для візуалізації та побудови графіків.
Кореляція подій та оповіщення виконується з використанням запиту Elasticsearch, що дозволяє написати власні правила обробки подій та оповіщення з використанням Python. За словами Mozilla, MozDef може обробляти понад 300 мільйонів подій на день. MozDef приймає події лише у форматі JSON, але є інтеграція зі сторонніми сервісами.
Переваги
- Не використовує агентів – працює із стандартними логами JSON;
- Легко масштабується завдяки мікросервісній архітектурі;
- Підтримує джерела даних хмарних сервісів, включаючи AWS CloudTrail та GuardDuty.
Недоліки
- Нова і менш усталена система.
Вазух
Wazuh почала розвивалася як форк OSSEC, однією з найпопулярніших SIEM із відкритим кодом. І тепер це власне унікальне рішення з новою функціональністю, виправленими помилками та оптимізованою архітектурою.
Система побудована на стеку ElasticStack (Elasticsearch, Logstash, Kibana) та підтримує як збір даних на основі агентів, так і прийом системних журналів. Це робить її ефективною для моніторингу пристроїв, що генерують журнали, але не підтримують установку агента – мережні пристрої, принтери та перифірія.
Wazuh підтримує існуючі агенти OSSEC і навіть надає посібник з міграції з OSSEC на Wazuh. Хоча OSSEC досі активно підтримується, Wazuh розглядається як продовження OSSEC через додавання нового веб-інтерфейсу, REST API, більш повного набору правил та багатьох інших покращень.
Переваги
- Заснована та сумісна з популярною SIEM OSSEC;
- Підтримує різні варіанти встановлення: Docker, Puppet, Chef, Ansible;
- Підтримує моніторинг хмарних сервісів, включаючи AWS та Azure;
- Включає комплексний набір правил для виявлення безлічі типів атак і дозволяє зіставляти їх у відповідність до PCI DSS v3.1 і CIS.
- Інтегрується з системою зберігання та аналізу логів Splunk візуалізації подій та підтримки API.
Недоліки
- Складна архітектура вимагає повного розгортання Elastic Stack на додаток до серверних компонентів Wazuh.
Prelude OSS
Prelude OSS - це open-source версія комерційної Prelude SIEM, розробленої французькою компанією CS. Рішення є гнучкою модульною SIEM-системою, що підтримує безліч форматів логів, інтеграцію зі сторонніми інструментами такими як OSSEC, Snort і мережеву систему виявлення Suricata.
Кожна подія нормалізується у повідомлення за форматом IDMEF, що спрощує обмін даними з іншими системами. Але є і ложка дьогтю - Prelude OSS дуже обмежена за продуктивністю та функціональністю в порівнянні з комерційною версією Prelude SIEM, і призначена швидше для невеликих проектів або для вивчення рішень SIEM та оцінки Prelude SIEM.
Переваги
- Опробована часом система, що розробляється з 1998;
- Підтримує багато різних форматів логів;
- Нормалізує дані до формату IMDEF, що дозволяє легко передавати дані до інших систем безпеки.
Недоліки
- Значно обмежена за функціональністю та продуктивністю порівняно з іншими open-source SIEM-системами.
Сагана
Sagan – це високопродуктивна SIEM, яка наголошує на сумісності зі Snort. Крім підтримки правил, написаних для Snort, Sagan може виконувати запис до бази даних Snort і навіть може використовуватися з інтерфейсом Shuil. По суті це легке багатопоточне рішення, яке пропонує нові функції, залишаючись дружнім до користувачів Snort.
Переваги
- Повністю сумісна з базою даних Snort, правилами, і інтерфейсом користувача;
- Багатопотокова архітектура забезпечує високу продуктивність.
Недоліки
- Порівняно молодий проект із невеликою спільнотою;
- Складний процес установки, що включає складання всієї SIEM із вихідних джерел.
Висновок
Кожна з описаних SIEM-систем має свої особливості та обмеження, тому їх не можна назвати універсальним рішенням для будь-якої організації. Однак у цих рішень відкритий код, що дозволяє розгортати, тестувати та оцінювати їх без надмірних витрат.
Що ще цікавого можна почитати у блозі
→
→
→
→
→
Підписуйтесь на наш
Джерело: habr.com