IT xavfsizligi bo'yicha yaxshi mutaxassis oddiy mutaxassisdan nimasi bilan farq qiladi? Yo'q, u istalgan vaqtda menejer Igor kecha hamkasbi Mariyaga yuborgan xabarlar sonini xotiradan nomlashi mumkinligi bilan emas. Yaxshi xavfsizlik mutaxassisi mumkin bo'lgan qonunbuzarliklarni oldindan aniqlashga va ularni real vaqt rejimida qo'lga olishga harakat qiladi, voqea davom etmasligi uchun barcha sa'y-harakatlarni amalga oshiradi. Xavfsizlik hodisalarini boshqarish tizimlari (SIEM, Xavfsizlik axboroti va hodisalarni boshqarishdan) har qanday qoidabuzarliklarni tezda qayd etish va blokirovka qilish vazifasini sezilarli darajada soddalashtiradi.
An'anaga ko'ra, SIEM tizimlari axborot xavfsizligini boshqarish tizimi va xavfsizlik hodisalarini boshqarish tizimini birlashtiradi. Tizimlarning muhim xususiyati - real vaqt rejimida xavfsizlik hodisalarini tahlil qilish, bu sizga mavjud zararlar paydo bo'lishidan oldin ularga javob berish imkonini beradi.
SIEM tizimlarining asosiy vazifalari:
- Ma'lumotlarni yig'ish va normallashtirish
- Ma'lumotlarning korrelyatsiyasi
- Ogohlantirish
- Vizualizatsiya panellari
- Ma'lumotlarni saqlashni tashkil etish
- Ma'lumotlarni qidirish va tahlil qilish
- Hisobot berish
SIEM tizimlariga talabning yuqoriligi sabablari
So'nggi paytlarda axborot tizimlariga hujumlarning murakkabligi va muvofiqlashtirilishi sezilarli darajada oshdi. Shu bilan birga, foydalaniladigan axborot xavfsizligi vositalari kompleksi ham murakkablashib bormoqda - tarmoq va xostga asoslangan hujumlarni aniqlash tizimlari, DLP tizimlari, virusga qarshi tizimlar va xavfsizlik devorlari, zaiflik skanerlari va boshqalar. Har bir xavfsizlik vositasi turli darajadagi tafsilotlarga ega voqealar oqimini hosil qiladi va ko'pincha hujumni faqat turli tizimlardagi hodisalarning bir-biriga mos kelishi orqali ko'rish mumkin.
Tijoriy SIEM tizimlarining barcha turlari haqida ko'p narsa bor , lekin biz foydalanuvchilar soni yoki qabul qilingan saqlangan ma'lumotlar hajmi bo'yicha sun'iy cheklovlarga ega bo'lmagan, shuningdek, oson kengaytiriladigan va qo'llab-quvvatlanadigan bepul, to'liq huquqli ochiq kodli SIEM tizimlari haqida qisqacha ma'lumotni taklif qilamiz. Umid qilamizki, bu bunday tizimlarning imkoniyatlarini baholashga yordam beradi va bunday echimlar kompaniyaning biznes jarayonlariga integratsiyalashuviga arziydimi yoki yo'qligini hal qiladi.
AlienVault OSSIM
AlienVault OSSIM - bu AlienVault USM ning ochiq manbali versiyasi, yetakchi tijorat SIEM tizimlaridan biri. OSSIM bir nechta ochiq kodli loyihalardan, jumladan Snort tarmog'iga tajovuzni aniqlash tizimi, Nagios tarmog'i va xost monitoringi tizimi, OSSEC xostga asoslangan hujumni aniqlash tizimi va OpenVAS zaiflik skaneridan iborat ramka hisoblanadi.
Qurilmalarni kuzatish uchun AlienVault agenti qo'llaniladi, u syslog formatida xostdan jurnallarni GELF platformasiga yuboradi yoki plagin Cloudflare veb-saytining teskari proksi-servisi yoki Okta multi-server kabi uchinchi tomon xizmatlari bilan integratsiya uchun ishlatilishi mumkin. -omilli autentifikatsiya tizimi.
USM versiyasi jurnallarni boshqarish, bulutli infratuzilma monitoringi, avtomatlashtirish va yangilangan tahdidlar ma'lumotlari va vizualizatsiyasi uchun kengaytirilgan funksionallik bilan OSSIMdan farq qiladi.
Kanada PR
- Tasdiqlangan ochiq manbali loyihalar asosida qurilgan;
- Foydalanuvchilar va ishlab chiquvchilarning katta jamoasi.
kamchiliklar
- Bulutli platformalar monitoringini qo'llab-quvvatlamaydi (masalan, AWS yoki Azure);
- Jurnalni boshqarish, vizualizatsiya, avtomatlashtirish yoki uchinchi tomon xizmatlari bilan integratsiya mavjud emas.
MozDef (Mozilla mudofaa platformasi)
Mozilla tomonidan ishlab chiqilgan MozDef SIEM tizimi xavfsizlik hodisalarini qayta ishlash jarayonlarini avtomatlashtirish uchun ishlatiladi. Tizim mikroservis arxitekturasi bilan maksimal unumdorlik, masshtablilik va nosozliklarga chidamlilikka erishish uchun boshidan ishlab chiqilgan - har bir xizmat Docker konteynerida ishlaydi.
OSSIM singari, MozDef ham vaqt sinovidan o'tgan ochiq manba loyihalari, jumladan Elasticsearch jurnalini indekslash va qidirish moduli, moslashuvchan veb-interfeysni yaratish uchun Meteor platformasi va vizualizatsiya va chizmachilik uchun Kibana plaginiga asoslangan.
Hodisalarni korrelyatsiya qilish va ogohlantirish Elasticsearch so'rovlari yordamida amalga oshiriladi, bu sizga Python yordamida o'zingizning hodisalarni qayta ishlash va ogohlantirish qoidalarini yozish imkonini beradi. Mozilla ma'lumotlariga ko'ra, MozDef kuniga 300 milliondan ortiq hodisalarni qayta ishlashga qodir. MozDef faqat JSON formatidagi voqealarni qabul qiladi, ammo uchinchi tomon xizmatlari bilan integratsiya mavjud.
Kanada PR
- Agentlardan foydalanmaydi - standart JSON jurnallari bilan ishlaydi;
- Mikroservis arxitekturasi tufayli osongina o'lchaydi;
- AWS CloudTrail va GuardDuty kabi bulutli xizmat maʼlumotlar manbalarini qoʻllab-quvvatlaydi.
kamchiliklar
- Yangi va kamroq o'rnatilgan tizim.
Vazuh
Wazuh eng mashhur ochiq manbali SIEM-lardan biri bo'lgan OSSEC-ning vilkalari sifatida ishlab chiqa boshladi. Va endi bu yangi funksionallik, xatolarni tuzatish va optimallashtirilgan arxitektura bilan o'zining noyob yechimidir.
Tizim ElasticStack stekida (Elasticsearch, Logstash, Kibana) qurilgan va agentga asoslangan ma'lumotlarni yig'ish va tizim jurnalini qabul qilishni qo'llab-quvvatlaydi. Bu uni jurnallarni yaratadigan, lekin agentni o'rnatishni qo'llab-quvvatlamaydigan monitoring qurilmalari uchun samarali qiladi - tarmoq qurilmalari, printerlar va tashqi qurilmalar.
Wazuh mavjud OSSEC agentlarini qo'llab-quvvatlaydi va hatto OSSECdan Wazuhga o'tish bo'yicha ko'rsatmalar beradi. OSSEC hali ham faol qo'llab-quvvatlansa-da, Wazuh yangi veb-interfeys, REST API qo'shilishi, qoidalarning to'liq to'plami va boshqa ko'plab yaxshilanishlar tufayli OSSECning davomi sifatida qaraladi.
Kanada PR
- Mashhur SIEM OSSEC-ga asoslangan va unga mos keladi;
- Turli xil o'rnatish variantlarini qo'llab-quvvatlaydi: Docker, Puppet, Chef, Ansible;
- Bulutli xizmatlar, shu jumladan AWS va Azure monitoringini qo'llab-quvvatlaydi;
- Bir nechta turdagi hujumlarni aniqlash uchun keng qamrovli qoidalar to'plamini o'z ichiga oladi va ularni PCI DSS v3.1 va MDHga muvofiq taqqoslash imkonini beradi.
- Voqealarni vizuallashtirish va APIni qo'llab-quvvatlash uchun Splunk jurnalini saqlash va tahlil qilish tizimi bilan integratsiyalashgan.
kamchiliklar
- Murakkab arxitektura - Wazuh backend komponentlariga qo'shimcha ravishda to'liq Elastic Stack o'rnatilishini talab qiladi.
Prelude OS
Prelude OSS frantsuz CS kompaniyasi tomonidan ishlab chiqilgan tijorat Prelude SIEM ning ochiq manbali versiyasidir. Yechim bir nechta jurnal formatlarini, OSSEC, Snort va Suricata tarmog'ini aniqlash tizimi kabi uchinchi tomon vositalari bilan integratsiyani qo'llab-quvvatlaydigan moslashuvchan, modulli SIEM tizimidir.
Har bir hodisa IDMEF formatidan foydalangan holda xabarga normallashtiriladi, bu boshqa tizimlar bilan ma'lumot almashishni osonlashtiradi. Ammo malhamda pashsha bor - Prelude OSS Prelude SIEM ning tijorat versiyasiga nisbatan unumdorligi va funksionalligi jihatidan juda cheklangan va ko'proq kichik loyihalar uchun yoki SIEM yechimlarini o'rganish va Prelude SIEMni baholash uchun mo'ljallangan.
Kanada PR
- 1998 yildan beri ishlab chiqilgan vaqt sinovidan o'tgan tizim;
- Ko'p turli jurnal formatlarini qo'llab-quvvatlaydi;
- Ma'lumotlarni IMDEF formatiga normallashtiradi, bu esa ma'lumotlarni boshqa xavfsizlik tizimlariga o'tkazishni osonlashtiradi.
kamchiliklar
- Boshqa ochiq manbali SIEM tizimlari bilan solishtirganda funksionallik va ishlash jihatidan sezilarli darajada cheklangan.
sagan
Sagan yuqori samarali SIEM bo'lib, Snort bilan muvofiqlikni ta'kidlaydi. Snort uchun yozilgan qo'llab-quvvatlovchi qoidalarga qo'shimcha ravishda, Sagan Snort ma'lumotlar bazasiga yozishi va hatto Shuil interfeysi bilan ishlatilishi mumkin. Aslida, bu Snort foydalanuvchilari uchun qulay bo'lib, yangi xususiyatlarni taqdim etadigan engil ko'p tarmoqli yechim.
Kanada PR
- Snort ma'lumotlar bazasi, qoidalari va foydalanuvchi interfeysi bilan to'liq mos keladi;
- Ko'p tarmoqli arxitektura yuqori ishlashni ta'minlaydi.
kamchiliklar
- Kichik jamoaga ega nisbatan yosh loyiha;
- Butun SIEMni manbadan qurishni o'z ichiga olgan murakkab o'rnatish jarayoni.
xulosa
Ta'riflangan SIEM tizimlarining har biri o'ziga xos xususiyatlarga va cheklovlarga ega, shuning uchun ularni har qanday tashkilot uchun universal echim deb atash mumkin emas. Biroq, bu echimlar ochiq manba bo'lib, ularni ortiqcha xarajatlarsiz joylashtirish, sinab ko'rish va baholash imkonini beradi.
Blogda yana qanday qiziqarli narsalarni o'qishingiz mumkin?
→
→
→
→
→
Bizning kanalimizga obuna bo'ling Keyingi maqolani o'tkazib yubormaslik uchun kanal! Biz haftasiga ikki martadan ko'p bo'lmagan va faqat ish haqida yozamiz.
Manba: www.habr.com