Một chuyên gia bảo mật CNTT giỏi khác với một chuyên gia bảo mật thông thường như thế nào? Không, không phải bởi thực tế là vào bất kỳ thời điểm nào anh ấy cũng có thể kể tên theo trí nhớ số lượng tin nhắn mà người quản lý Igor đã gửi ngày hôm qua cho đồng nghiệp Maria của anh ấy. Một chuyên gia bảo mật giỏi cố gắng xác định trước các vi phạm có thể xảy ra và phát hiện chúng trong thời gian thực, cố gắng hết sức để đảm bảo rằng sự việc không tiếp diễn. Hệ thống quản lý sự kiện bảo mật (SIEM, từ Quản lý sự kiện và thông tin bảo mật) đơn giản hóa đáng kể nhiệm vụ ghi lại và ngăn chặn nhanh chóng mọi hành vi vi phạm có chủ ý.
Theo truyền thống, hệ thống SIEM kết hợp hệ thống quản lý bảo mật thông tin và hệ thống quản lý sự kiện bảo mật. Một tính năng quan trọng của hệ thống là phân tích các sự kiện bảo mật trong thời gian thực, cho phép bạn phản hồi chúng trước khi xảy ra thiệt hại hiện có.
Nhiệm vụ chính của hệ thống SIEM:
- Thu thập và chuẩn hóa dữ liệu
- Tương quan dữ liệu
- Cảnh báo
- Bảng trực quan
- Tổ chức lưu trữ dữ liệu
- Tìm kiếm và phân tích dữ liệu
- Báo cáo
Lý do nhu cầu cao về hệ thống SIEM
Gần đây, mức độ phức tạp và phối hợp của các cuộc tấn công vào hệ thống thông tin đã tăng lên rất nhiều. Đồng thời, sự phức tạp của các công cụ bảo mật thông tin được sử dụng cũng ngày càng trở nên phức tạp hơn—hệ thống phát hiện xâm nhập dựa trên mạng và máy chủ, hệ thống DLP, hệ thống chống vi-rút và tường lửa, máy quét lỗ hổng, v.v. Mỗi công cụ bảo mật tạo ra một luồng sự kiện với mức độ chi tiết khác nhau và thường một cuộc tấn công chỉ có thể được phát hiện bằng các sự kiện chồng chéo từ các hệ thống khác nhau.
Có rất nhiều về các loại hệ thống SIEM thương mại , nhưng chúng tôi cung cấp một cái nhìn tổng quan ngắn gọn về các hệ thống SIEM nguồn mở chính thức, miễn phí, không có các hạn chế giả tạo về số lượng người dùng hoặc khối lượng dữ liệu được lưu trữ được chấp nhận, đồng thời cũng có thể dễ dàng mở rộng và hỗ trợ. Chúng tôi hy vọng điều này sẽ giúp đánh giá tiềm năng của các hệ thống như vậy và quyết định xem các giải pháp đó có đáng để tích hợp vào quy trình kinh doanh của công ty hay không.
AlienVault OSSIM
AlienVault OSSIM là phiên bản mã nguồn mở của AlienVault USM, một trong những hệ thống SIEM thương mại hàng đầu. OSSIM là một khung bao gồm một số dự án nguồn mở, bao gồm hệ thống phát hiện xâm nhập mạng Snort, mạng Nagios và hệ thống giám sát máy chủ, hệ thống phát hiện xâm nhập dựa trên máy chủ OSSEC và trình quét lỗ hổng OpenVAS.
Để giám sát các thiết bị, Tác nhân AlienVault được sử dụng để gửi nhật ký từ máy chủ ở định dạng nhật ký hệ thống đến nền tảng GELF hoặc có thể sử dụng plugin để tích hợp với các dịch vụ của bên thứ ba, chẳng hạn như dịch vụ proxy ngược trang web Cloudflare hoặc Okta multi. -Hệ thống xác thực yếu tố.
Phiên bản USM khác với OSSIM ở chỗ chức năng nâng cao để quản lý nhật ký, giám sát cơ sở hạ tầng đám mây, tự động hóa cũng như cập nhật thông tin và trực quan hóa mối đe dọa.
Lợi thế
- Được xây dựng trên các dự án nguồn mở đã được chứng minh;
- Cộng đồng người dùng và nhà phát triển lớn.
Hạn chế
- Không hỗ trợ giám sát nền tảng đám mây (ví dụ: AWS hoặc Azure);
- Không có quản lý nhật ký, trực quan hóa, tự động hóa hoặc tích hợp với các dịch vụ của bên thứ ba.
MozDef (Nền tảng phòng thủ Mozilla)
Hệ thống MozDef SIEM do Mozilla phát triển được sử dụng để tự động hóa các quy trình xử lý sự cố bảo mật. Hệ thống được thiết kế từ đầu để đạt được hiệu suất, khả năng mở rộng và khả năng chịu lỗi tối đa, với kiến trúc vi dịch vụ - mỗi dịch vụ chạy trong vùng chứa Docker.
Giống như OSSIM, MozDef được xây dựng trên các dự án nguồn mở đã được thử nghiệm theo thời gian, bao gồm mô-đun tìm kiếm và lập chỉ mục nhật ký Elaticsearch, nền tảng Meteor để xây dựng giao diện web linh hoạt và plugin Kibana để trực quan hóa và vẽ sơ đồ.
Tương quan và cảnh báo sự kiện được thực hiện bằng cách sử dụng các truy vấn Elaticsearch, cho phép bạn viết các quy tắc cảnh báo và xử lý sự kiện của riêng mình bằng Python. Theo Mozilla, MozDef có thể xử lý hơn 300 triệu sự kiện mỗi ngày. MozDef chỉ chấp nhận các sự kiện ở định dạng JSON nhưng có tích hợp với các dịch vụ của bên thứ ba.
Lợi thế
- Không sử dụng tác nhân - hoạt động với nhật ký JSON tiêu chuẩn;
- Dễ dàng mở rộng quy mô nhờ kiến trúc microservice;
- Hỗ trợ các nguồn dữ liệu dịch vụ đám mây bao gồm AWS CloudTrail và GuardDuty.
Hạn chế
- Hệ thống mới và ít được thiết lập hơn.
wazuh
Wazuh bắt đầu phát triển như một nhánh của OSSEC, một trong những SIEM nguồn mở phổ biến nhất. Và giờ đây nó là giải pháp độc đáo của riêng mình với chức năng mới, sửa lỗi và kiến trúc được tối ưu hóa.
Hệ thống này được xây dựng trên ngăn xếp ElasticStack (Elasticsearch, Logstash, Kibana) và hỗ trợ cả việc thu thập dữ liệu dựa trên tác nhân và nhập nhật ký hệ thống. Điều này mang lại hiệu quả cho việc giám sát các thiết bị tạo nhật ký nhưng không hỗ trợ cài đặt tác nhân - thiết bị mạng, máy in và thiết bị ngoại vi.
Wazuh hỗ trợ các đại lý OSSEC hiện có và thậm chí còn cung cấp hướng dẫn về cách di chuyển từ OSSEC sang Wazuh. Mặc dù OSSEC vẫn được hỗ trợ tích cực nhưng Wazuh được coi là sự tiếp nối của OSSEC do bổ sung giao diện web mới, API REST, bộ quy tắc hoàn chỉnh hơn và nhiều cải tiến khác.
Lợi thế
- Dựa trên và tương thích với SIEM OSSEC phổ biến;
- Hỗ trợ nhiều tùy chọn cài đặt khác nhau: Docker, Puppet, Chef, Ansible;
- Hỗ trợ giám sát các dịch vụ đám mây, bao gồm AWS và Azure;
- Bao gồm một bộ quy tắc toàn diện để phát hiện nhiều loại tấn công và cho phép bạn so sánh chúng theo PCI DSS v3.1 và CIS.
- Tích hợp với hệ thống phân tích và lưu trữ nhật ký Splunk để trực quan hóa sự kiện và hỗ trợ API.
Hạn chế
- Kiến trúc phức tạp - yêu cầu triển khai Elastic Stack đầy đủ bên cạnh các thành phần phụ trợ Wazuh.
Khúc dạo đầu của hệ điều hành
Prelude OSS là phiên bản mã nguồn mở của Prelude SIEM thương mại, được phát triển bởi công ty CS của Pháp. Giải pháp này là một hệ thống SIEM mô-đun, linh hoạt, hỗ trợ nhiều định dạng nhật ký, tích hợp với các công cụ của bên thứ ba như OSSEC, Snort và hệ thống phát hiện mạng Suricata.
Mỗi sự kiện được chuẩn hóa thành một tin nhắn sử dụng định dạng IDMEF, giúp đơn giản hóa việc trao đổi dữ liệu với các hệ thống khác. Nhưng có một điều đáng lo ngại - Prelude OSS rất hạn chế về hiệu suất và chức năng so với phiên bản thương mại của Prelude SIEM và được dành nhiều hơn cho các dự án nhỏ hoặc để nghiên cứu các giải pháp SIEM và đánh giá Prelude SIEM.
Lợi thế
- Hệ thống được thử nghiệm theo thời gian, được phát triển từ năm 1998;
- Hỗ trợ nhiều định dạng nhật ký khác nhau;
- Chuẩn hóa dữ liệu sang định dạng IMDEF, giúp dễ dàng truyền dữ liệu sang các hệ thống bảo mật khác.
Hạn chế
- Bị hạn chế đáng kể về chức năng và hiệu suất so với các hệ thống SIEM nguồn mở khác.
Sagan
Sagan là SIEM hiệu suất cao nhấn mạnh khả năng tương thích với Snort. Ngoài việc hỗ trợ các quy tắc được viết cho Snort, Sagan có thể ghi vào cơ sở dữ liệu Snort và thậm chí có thể được sử dụng với giao diện Shuil. Về cơ bản, đây là một giải pháp đa luồng nhẹ cung cấp các tính năng mới trong khi vẫn thân thiện với người dùng Snort.
Lợi thế
- Hoàn toàn tương thích với cơ sở dữ liệu, quy tắc và giao diện người dùng Snort;
- Kiến trúc đa luồng mang lại hiệu suất cao.
Hạn chế
- Một dự án tương đối trẻ với một cộng đồng nhỏ;
- Một quá trình cài đặt phức tạp bao gồm việc xây dựng toàn bộ SIEM từ nguồn.
Kết luận
Mỗi hệ thống SIEM được mô tả đều có những đặc điểm và hạn chế riêng nên không thể gọi chúng là giải pháp phổ quát cho bất kỳ tổ chức nào. Tuy nhiên, các giải pháp này là nguồn mở, cho phép chúng được triển khai, thử nghiệm và đánh giá mà không phát sinh chi phí quá cao.
Bạn có thể đọc gì thú vị khác trên blog?
→
→
→
→
→
Đăng ký của chúng tôi -channel để không bỏ lỡ bài viết tiếp theo nhé! Chúng tôi viết không quá hai lần một tuần và chỉ viết về công việc.
Nguồn: www.habr.com