پرو ہوسٹر > بلاگ > انتظامیہ > 5 اوپن سورس سیکیورٹی ایونٹ مینجمنٹ سسٹم

5 اوپن سورس سیکیورٹی ایونٹ مینجمنٹ سسٹم

5 اوپن سورس سیکیورٹی ایونٹ مینجمنٹ سسٹم

ایک اچھا آئی ٹی سیکیورٹی ماہر ایک عام سے کیسے مختلف ہے؟ نہیں، اس حقیقت سے نہیں کہ کسی بھی وقت وہ میموری سے ان پیغامات کی تعداد کا نام لے سکتا ہے جو مینیجر ایگور نے کل اپنی ساتھی ماریا کو بھیجے تھے۔ ایک اچھا سیکورٹی ماہر ممکنہ خلاف ورزیوں کی پہلے سے نشاندہی کرنے اور انہیں حقیقی وقت میں پکڑنے کی کوشش کرتا ہے، اس بات کو یقینی بنانے کی ہر ممکن کوشش کرتا ہے کہ واقعہ جاری نہ رہے۔ سیکیورٹی ایونٹ مینجمنٹ سسٹم (SIEM، سیکیورٹی انفارمیشن اور ایونٹ مینجمنٹ سے) کسی بھی کوشش کی خلاف ورزی کو فوری طور پر ریکارڈ کرنے اور بلاک کرنے کے کام کو بہت آسان بنا دیتے ہیں۔

روایتی طور پر، SIEM سسٹم انفارمیشن سیکیورٹی مینجمنٹ سسٹم اور سیکیورٹی ایونٹ مینجمنٹ سسٹم کو یکجا کرتے ہیں۔ سسٹمز کی ایک اہم خصوصیت حقیقی وقت میں سیکیورٹی کے واقعات کا تجزیہ ہے، جو آپ کو موجودہ نقصان ہونے سے پہلے ان کا جواب دینے کی اجازت دیتا ہے۔

SIEM سسٹم کے اہم کام:

  • ڈیٹا اکٹھا کرنا اور معمول بنانا
  • ڈیٹا کا ارتباط
  • الرٹ۔
  • ویژولائزیشن پینلز
  • ڈیٹا اسٹوریج کی تنظیم
  • ڈیٹا کی تلاش اور تجزیہ
  • رپورٹنگ

SIEM سسٹمز کی زیادہ مانگ کی وجوہات

حال ہی میں، انفارمیشن سسٹمز پر حملوں کی پیچیدگی اور ہم آہنگی بہت بڑھ گئی ہے۔ ایک ہی وقت میں، استعمال شدہ معلوماتی حفاظتی ٹولز کا کمپلیکس بھی زیادہ پیچیدہ ہوتا جا رہا ہے — نیٹ ورک اور میزبان پر مبنی دخل اندازی کا پتہ لگانے کے نظام، ڈی ایل پی سسٹم، اینٹی وائرس سسٹمز اور فائر والز، کمزوری کے اسکینرز وغیرہ۔ ہر حفاظتی ٹول مختلف سطحوں کی تفصیلات کے ساتھ واقعات کا ایک سلسلہ تیار کرتا ہے، اور اکثر حملہ صرف مختلف سسٹمز کے واقعات کو اوورلیپ کرتے ہوئے دیکھا جا سکتا ہے۔

تمام قسم کے تجارتی SIEM سسٹمز کے بارے میں بہت کچھ ہے۔ یہ لکھا ہوا ہے، لیکن ہم مفت، مکمل اوپن سورس SIEM سسٹمز کا ایک مختصر جائزہ پیش کرتے ہیں جن میں صارفین کی تعداد یا قبول شدہ ذخیرہ شدہ ڈیٹا کے حجم پر مصنوعی پابندیاں نہیں ہیں، اور یہ آسانی سے توسیع پذیر اور معاون بھی ہیں۔ ہمیں امید ہے کہ اس سے ایسے سسٹمز کی صلاحیت کا اندازہ لگانے میں مدد ملے گی اور یہ فیصلہ کرنے میں مدد ملے گی کہ آیا اس طرح کے حل کمپنی کے کاروباری عمل میں ضم ہونے کے قابل ہیں یا نہیں۔

ایلین والٹ OSSIM

5 اوپن سورس سیکیورٹی ایونٹ مینجمنٹ سسٹم

AlienVault OSSIM AlienVault USM کا ایک اوپن سورس ورژن ہے، جو معروف تجارتی SIEM سسٹمز میں سے ایک ہے۔ OSSIM ایک فریم ورک ہے جس میں کئی اوپن سورس پروجیکٹس شامل ہیں، بشمول Snort نیٹ ورک انٹروژن کا پتہ لگانے کا نظام، Nagios نیٹ ورک اور میزبان نگرانی کا نظام، OSSEC میزبان پر مبنی دخل اندازی کا پتہ لگانے کا نظام، اور OpenVAS کمزوری اسکینر۔

آلات کی نگرانی کے لیے، AlienVault ایجنٹ کا استعمال کیا جاتا ہے، جو میزبان سے لاگ ان کو syslog فارمیٹ میں GELF پلیٹ فارم پر بھیجتا ہے، یا تیسری پارٹی کی خدمات کے ساتھ انضمام کے لیے ایک پلگ ان استعمال کیا جا سکتا ہے، جیسے کہ Cloudflare ویب سائٹ ریورس پراکسی سروس یا Okta multi - عنصر کی توثیق کا نظام۔

لاگ مینجمنٹ، کلاؤڈ انفراسٹرکچر مانیٹرنگ، آٹومیشن، اور تازہ ترین خطرے کی معلومات اور ویژولائزیشن کے لیے بہتر فعالیت کے ساتھ USM ورژن OSSIM سے مختلف ہے۔

فوائد

  • ثابت شدہ اوپن سورس پروجیکٹس پر بنایا گیا؛
  • صارفین اور ڈویلپرز کی بڑی کمیونٹی۔

حدود

  • کلاؤڈ پلیٹ فارمز کی نگرانی کی حمایت نہیں کرتا ہے (مثال کے طور پر، AWS یا Azure)؛
  • تیسری پارٹی کی خدمات کے ساتھ کوئی لاگ مینجمنٹ، ویژولائزیشن، آٹومیشن یا انضمام نہیں ہے۔

ماخذ

موز ڈیف (موزیلا ڈیفنس پلیٹ فارم)

5 اوپن سورس سیکیورٹی ایونٹ مینجمنٹ سسٹم

موزیلا کی طرف سے تیار کردہ MozDef SIEM سسٹم کو سیکیورٹی کے واقعات کی کارروائی کے عمل کو خودکار کرنے کے لیے استعمال کیا جاتا ہے۔ مائیکرو سرویس آرکیٹیکچر کے ساتھ سسٹم کو زمین سے زیادہ سے زیادہ کارکردگی، اسکیل ایبلٹی اور غلطی کو برداشت کرنے کے لیے ڈیزائن کیا گیا ہے - ہر سروس ڈوکر کنٹینر میں چلتی ہے۔

OSSIM کی طرح، MozDef کو وقتی آزمائشی اوپن سورس پروجیکٹس پر بنایا گیا ہے، بشمول Elasticsearch لاگ انڈیکسنگ اور سرچ ماڈیول، ایک لچکدار ویب انٹرفیس بنانے کے لیے Meteor پلیٹ فارم، اور تصور اور منصوبہ بندی کے لیے Kibana پلگ ان۔

Elasticsearch استفسارات کا استعمال کرتے ہوئے ایونٹ کا ارتباط اور انتباہ انجام دیا جاتا ہے، جو آپ کو Python کا استعمال کرتے ہوئے اپنے ایونٹ پروسیسنگ اور الرٹ کرنے کے قواعد لکھنے کی اجازت دیتا ہے۔ Mozilla کے مطابق، MozDef روزانہ 300 ملین سے زیادہ ایونٹس پر کارروائی کر سکتا ہے۔ MozDef صرف JSON فارمیٹ میں واقعات کو قبول کرتا ہے، لیکن تیسری پارٹی کی خدمات کے ساتھ انضمام ہے۔

فوائد

  • ایجنٹوں کا استعمال نہیں کرتا - معیاری JSON لاگز کے ساتھ کام کرتا ہے۔
  • مائیکرو سروس فن تعمیر کی بدولت آسانی سے ترازو۔
  • AWS CloudTrail اور GuardDuty سمیت کلاؤڈ سروس ڈیٹا ذرائع کو سپورٹ کرتا ہے۔

حدود

  • نیا اور کم قائم نظام۔

ماخذ

وضو

5 اوپن سورس سیکیورٹی ایونٹ مینجمنٹ سسٹم

وازوہ نے OSSEC کے ایک فورک کے طور پر ترقی کا آغاز کیا، جو سب سے زیادہ مقبول اوپن سورس SIEM میں سے ایک ہے۔ اور اب یہ نئی فعالیت، بگ فکسز اور آپٹمائزڈ فن تعمیر کے ساتھ اپنا منفرد حل ہے۔

یہ سسٹم ElasticStack اسٹیک (Elasticsearch، Logstash، Kibana) پر بنایا گیا ہے اور ایجنٹ پر مبنی ڈیٹا اکٹھا کرنے اور سسٹم لاگ ادخال دونوں کو سپورٹ کرتا ہے۔ یہ ان آلات کی نگرانی کے لیے موثر بناتا ہے جو لاگ تیار کرتے ہیں لیکن ایجنٹ کی تنصیب کو سپورٹ نہیں کرتے ہیں - نیٹ ورک ڈیوائسز، پرنٹرز اور پیری فیرلز۔

Wazuh موجودہ OSSEC ایجنٹوں کی حمایت کرتا ہے اور یہاں تک کہ OSSEC سے وازوہ میں منتقل ہونے کے بارے میں رہنمائی فراہم کرتا ہے۔ اگرچہ OSSEC اب بھی فعال طور پر سپورٹ کیا جاتا ہے، ایک نئے ویب انٹرفیس، REST API، قواعد کا ایک مکمل سیٹ، اور بہت سی دیگر بہتریوں کی وجہ سے Wazuh کو OSSEC کے تسلسل کے طور پر دیکھا جاتا ہے۔

فوائد

  • مقبول SIEM OSSEC پر مبنی اور ہم آہنگ؛
  • تنصیب کے مختلف اختیارات کی حمایت کرتا ہے: ڈاکر، کٹھ پتلی، شیف، جوابدہ؛
  • AWS اور Azure سمیت کلاؤڈ سروسز کی نگرانی کی حمایت کرتا ہے۔
  • متعدد قسم کے حملوں کا پتہ لگانے کے لیے قواعد کا ایک جامع سیٹ شامل ہے اور آپ کو PCI DSS v3.1 اور CIS کے مطابق ان کا موازنہ کرنے کی اجازت دیتا ہے۔
  • ایونٹ ویژولائزیشن اور API سپورٹ کے لیے اسپلنک لاگ اسٹوریج اور تجزیہ کے نظام کے ساتھ ضم ہوتا ہے۔

حدود

  • پیچیدہ فن تعمیر - وضو پسدید اجزاء کے علاوہ ایک مکمل لچکدار اسٹیک کی تعیناتی کی ضرورت ہے۔

ماخذ

Prelude OS

5 اوپن سورس سیکیورٹی ایونٹ مینجمنٹ سسٹم

Prelude OSS تجارتی Prelude SIEM کا ایک اوپن سورس ورژن ہے، جسے فرانسیسی کمپنی CS نے تیار کیا ہے۔ حل ایک لچکدار، ماڈیولر SIEM سسٹم ہے جو متعدد لاگ فارمیٹس، تھرڈ پارٹی ٹولز جیسے OSSEC، Snort اور Suricata نیٹ ورک کا پتہ لگانے کے نظام کے ساتھ انضمام کو سپورٹ کرتا ہے۔

IDMEF فارمیٹ کا استعمال کرتے ہوئے ہر ایونٹ کو ایک پیغام میں معمول بنایا جاتا ہے، جو دوسرے سسٹمز کے ساتھ ڈیٹا کے تبادلے کو آسان بناتا ہے۔ لیکن مرہم میں ایک مکھی ہے - Prelude SIEM کے تجارتی ورژن کے مقابلے Prelude OSS کارکردگی اور فعالیت میں بہت محدود ہے، اور اس کا مقصد چھوٹے پروجیکٹس یا SIEM سلوشنز کا مطالعہ کرنے اور Prelude SIEM کا جائزہ لینے کے لیے ہے۔

فوائد

  • 1998 کے بعد سے تیار کردہ ٹائم ٹیسٹ سسٹم؛
  • بہت سے مختلف لاگ فارمیٹس کو سپورٹ کرتا ہے۔
  • ڈیٹا کو IMDEF فارمیٹ میں معمول بناتا ہے، جس سے ڈیٹا کو دوسرے سیکیورٹی سسٹمز میں منتقل کرنا آسان ہوتا ہے۔

حدود

  • دیگر اوپن سورس SIEM سسٹمز کے مقابلے فعالیت اور کارکردگی میں نمایاں طور پر محدود۔

ماخذ

Sagan

5 اوپن سورس سیکیورٹی ایونٹ مینجمنٹ سسٹم

ساگن ایک اعلیٰ کارکردگی والا SIEM ہے جو Snort کے ساتھ مطابقت پر زور دیتا ہے۔ Snort کے لیے لکھے گئے اصولوں کی حمایت کرنے کے علاوہ، Sagan Snort ڈیٹا بیس کو لکھ سکتا ہے اور یہاں تک کہ Shuil انٹرفیس کے ساتھ استعمال کیا جا سکتا ہے۔ بنیادی طور پر، یہ ایک ہلکا پھلکا ملٹی تھریڈڈ حل ہے جو Snort صارفین کے لیے دوستانہ رہتے ہوئے نئی خصوصیات پیش کرتا ہے۔

فوائد

  • Snort ڈیٹا بیس، قواعد، اور صارف انٹرفیس کے ساتھ مکمل طور پر ہم آہنگ؛
  • ملٹی تھریڈڈ فن تعمیر اعلی کارکردگی فراہم کرتا ہے۔

حدود

  • ایک چھوٹی سی کمیونٹی کے ساتھ نسبتاً نوجوان پروجیکٹ؛
  • ایک پیچیدہ تنصیب کا عمل جس میں ماخذ سے پورے SIEM کی تعمیر شامل ہوتی ہے۔

ماخذ

حاصل يہ ہوا

بیان کردہ SIEM سسٹمز میں سے ہر ایک کی اپنی خصوصیات اور حدود ہیں، لہذا انہیں کسی بھی تنظیم کے لیے عالمگیر حل نہیں کہا جا سکتا۔ تاہم، یہ حل اوپن سورس ہیں، جو انہیں ضرورت سے زیادہ اخراجات کیے بغیر تعینات، جانچ، اور جانچنے کی اجازت دیتے ہیں۔

آپ بلاگ پر اور کیا دلچسپ پڑھ سکتے ہیں؟ Cloud4Y

پورے سیارے کا VNIITE: یو ایس ایس آر میں "سمارٹ ہوم" سسٹم کی ایجاد کیسے ہوئی۔
عصبی انٹرفیس کس طرح انسانیت کی مدد کرتے ہیں۔
روسی مارکیٹ میں سائبر انشورنس
روشنی، کیمرہ... بادل: بادل فلم انڈسٹری کو کیسے بدل رہے ہیں۔
بادلوں میں فٹ بال - فیشن یا ضرورت؟

ہمارے سبسکرائب کریں۔ تار-چینل تاکہ آپ اگلے مضمون سے محروم نہ ہوں! ہم ہفتے میں دو بار سے زیادہ نہیں اور صرف کاروبار پر لکھتے ہیں۔

ماخذ: www.habr.com