Чем хороший безопасник в ИТ-сфере отличается от обычного? Нет, не тем, что он в любой момент времени по памяти назовёт количество сообщений, которые менеджер Игорь отправил вчера коллеге Марии. Хороший безопасник старается выявить возможные нарушения заранее и отлавливать их в режиме реального времени, прилагая все силы, чтобы не было продолжения инцидента. Системы управления событиями безопасности (SIEM, от Security information and event management) значительно упрощают задачу быстрой фиксации и блокировки любых попыток нарушений.
Традиционно SIEM-системы объединяют в себе систему управления информационной безопасностью и систему управления событиями безопасности. Важной особенностью систем является анализ событий безопасности в реальном времени, что позволяет реагировать на них до наступления существующего ущерба.
Основные задачи SIEM-систем:
- Сбор и нормализация данных
- Корреляция данных
- Itaniji
- Панели визуализации
- Организация хранения данных
- Поиск и анализ данных
- Iroyin
Причины высокого спроса на SIEM-системы
За последнее время сильно повысились сложность и координированность атак на информационные системы. Вместе с тем усложняется и применяемый комплекс средств защиты информации— сетевые и хостовые системы обнаружения вторжений, DLP-системы, антивирусные системы и межсетевые экраны, сканеры уязвимостей и прочее. Каждое средство защиты генерирует поток событий с разной детализацией и зачастую увидеть атаку можно только по наложению событий из разных систем.
Про всевозможные коммерческие SIEM-системы много чего , но мы предлагаем краткий обзор бесплатных полноценных опенсорсных SIEM-систем, которые не имеют искусственных ограничений на количество пользователей или объёмы принимаемыххранимых данных, а также легко масштабируются и поддерживаются. Надеемся, это поможет оценить потенциал подобных систем и принять решение, стоит ли интегрировать такие решения в бизнес-процессы компании.
AlienVault OSSIM
AlienVault OSSIM – это open-source версия AlienVault USM, одной из лидирующих коммерческих SIEM-систем. OSSIM представляет собой фреймворк, состоящий из нескольких проектов с открытым исходным кодом, включая cетевую систему обнаружения вторжений Snort, систему мониторинга сетей и узлов Nagios, хостовую систему обнаружения вторжений OSSEC и сканер уязвимостей OpenVAS.
Для мониторинга за устройствами используется AlienVault Agent, который отправляет журналы с хоста в формате syslog в платформу GELF или может использоваться плагин для интеграции со сторонними сервисами, такими как сервис реверсного проксирования сайтов Cloudflare или системой многофакторной аутентификации Okta.
Версия USM отличается от OSSIM расширенной функциональностью управления журналами, мониторинга облачной инфраструктуры, автоматизации, и обновляемой информацией об угрозах и визуализацией.
Anfani
- Построена на проверенных open-source проектах;
- Большое сообщество пользователей и разработчиков.
shortcomings
- Не поддерживает мониторинг облачных платформ (например, AWS или Azure);
- Отсутствует управление логами, визуализация, автоматизация и интеграция со сторонними сервисами.
MozDef (Mozilla Defense Platform)
Разработанная Mozilla SIEM-система MozDef используется для автоматизации процессов обработки инцидентов безопасности. Система разработана с нуля для получения максимального быстродействия, масштабируемости и отказоустойчивости, с микросервисной архитектурой – каждый сервис работает в контейнере Docker.
Как и OSSIM, MozDef построена на проверенных временем опенсорсных проектах, включающих модуль индексирования логов и поиска Elasticsearch, платформу Meteor для построения гибкого web-интерфейса, и плагин Kibana для визуализации и построения графиков.
Корреляция событий и оповещение выполняется с использованием запросом Elasticsearch, что позволяет написать собственные правила обработки событий и оповещения с использованием Python. Со слов Mozilla, MozDef может обрабатывать более 300 миллионов событий в день. MozDef принимает события только в формате JSON, но есть интеграция со сторонними сервисами.
Anfani
- Не использует агентов – работает со стандартными логами JSON;
- Легко масштабируется благодаря микросервисной архитектуре;
- Поддерживает источники данных облачных сервисов, включая AWS CloudTrail и GuardDuty.
shortcomings
- Новая и менее устоявшаяся система.
Wazuh
Wazuh начала развивалась как форк OSSEC, одной из самых популярных SIEM с открытым кодом. И теперь это собственное уникальное решение с новой функциональностью, исправленными ошибками и оптимизированной архитектурой.
Система построена на стеке ElasticStack (Elasticsearch, Logstash, Kibana) и поддерживает как сбор данных на основе агентов, так и прием системных журналов. Это делает её эффективной для мониторинга устройств, которые генерируют журналы, но не поддерживают установку агента – сетевые устройства, принтеры и перифирия.
Wazuh поддерживает существующие агенты OSSEC и даже предоставляет руководство по миграции с OSSEC на Wazuh. Хотя OSSEC все еще активно поддерживается, Wazuh рассматривается как продолжение OSSEC из-за добавление нового веб-интерфейса, REST API, более полного набора правил и многих других улучшений.
Anfani
- Основана и совместима с популярной SIEM OSSEC;
- Поддерживает различные варианты установки: Docker, Puppet, Chef, Ansible;
- Поддерживает мониторинг облачных сервисов, включая AWS и Azure;
- Включает комплексный набор правил, для обнаружения множества типов атак и позволяет сопоставлять их в соответствие с PCI DSS v3.1 и CIS.
- Интегрируется с системой хранения и анализа логов Splunk визуализации событий и поддержки API.
shortcomings
- Сложная архитектура — требует полного развёртывания Elastic Stack в дополнение к серверным компонентам Wazuh.
Prelude OSS
Prelude OSS – это open-source версия коммерческой Prelude SIEM, разработанной французской компанией CS. Решение представляет собой гибкую модульную SIEM-систему, поддерживающую множество форматов логов, интеграцию со сторонними инструментами такими как OSSEC, Snort и сетевую систему обнаружения Suricata.
Каждое событие нормализуется в сообщение по формату IDMEF, что упрощает обмен данными с другими системами. Но есть и ложка дёгтя — Prelude OSS сильно ограничена по производительности и функциональности по сравнению с коммерческой версией Prelude SIEM, и предназначена скорее для небольших проектов или для изучения решений SIEM и оценки Prelude SIEM.
Anfani
- Опробованная временем система, разрабатываемая с 1998 г.;
- Поддерживает множество различных форматов логов;
- Нормализует данные к формату IMDEF, что позволяет легко передавать данные в другие системы безопасности.
shortcomings
- Значительно ограничена по функциональности и производительности по сравнению с другими open-source SIEM-системами.
sagan
Sagan — это высокопроизводительная SIEM, которая подчеркивает совместимость со Snort. Помимо поддержки правил, написанных для Snort, Sagan может выполнять запись в базу данных Snort и даже может использоваться с интерфейсом Shuil. По сути, это лёгкое многопоточное решение, которое предлагает новые функции, оставаясь дружественным к пользователям Snort.
Anfani
- Полностью совместима с базой данных Snort, правилами, и пользовательским интерфейсом;
- Многопоточная архитектура обеспечивает высокую производительность.
shortcomings
- Сравнительно молодой проект с небольшим сообществом;
- Сложный процесс установки, включающий сборку всей SIEM из исходников.
ipari
У каждой из описанных SIEM-систем есть свои особенности и ограничения, поэтому их нельзя назвать универсальным решением для любой организации. Однако у этих решений открыт код, что позволяет развертывать, тестировать и оценивать их без чрезмерных расходов.
Kini ohun miiran ti o nifẹ ti o le ka lori bulọọgi naa?
→
→
→
→
→
Alabapin si wa -ikanni, ki bi ko lati padanu awọn tókàn article! A kọ ko siwaju sii ju lẹmeji ọsẹ kan ati ki o nikan lori owo.
orisun: www.habr.com