优秀的 IT 安全专家与普通专家有何不同? 不,不是因为在任何特定时间他都能凭记忆说出经理伊戈尔昨天向他的同事玛丽亚发送的消息数量。 优秀的安全专家会尽力提前识别可能的违规行为并实时捕获它们,尽一切努力确保事件不会继续发生。 安全事件管理系统(SIEM,来自安全信息和事件管理)极大地简化了快速记录和阻止任何尝试的违规行为的任务。
传统上,SIEM 系统结合了信息安全管理系统和安全事件管理系统。 该系统的一个重要功能是实时分析安全事件,使您能够在现有损坏发生之前对其做出响应。
SIEM系统的主要任务:
- 数据收集和标准化
- 数据关联
- 通知
- 可视化面板
- 数据存储的组织
- 数据检索与分析
- 报告
SIEM系统需求高的原因
近年来,信息系统攻击的复杂性和协同性大大增加。 与此同时,所使用的信息安全工具也变得更加复杂——基于网络和主机的入侵检测系统、DLP系统、防病毒系统和防火墙、漏洞扫描器等。 每个安全工具都会生成具有不同详细程度的事件流,并且通常只能通过来自不同系统的重叠事件才能看到攻击。
各种商业SIEM系统有很多
AlienVault OSSIM
AlienVault OSSIM 是 AlienVault USM 的开源版本,AlienVault USM 是领先的商业 SIEM 系统之一。 OSSIM是一个由多个开源项目组成的框架,包括Snort网络入侵检测系统、Nagios网络和主机监控系统、OSSEC基于主机的入侵检测系统以及OpenVAS漏洞扫描器。
为了监控设备,可以使用 AlienVault Agent,它将日志以 syslog 格式从主机发送到 GELF 平台,或者可以使用插件与第三方服务集成,例如 Cloudflare 网站反向代理服务或 Okta multi -因素认证系统。
USM 版本与 OSSIM 不同,它具有增强的日志管理、云基础设施监控、自动化以及更新的威胁信息和可视化功能。
优点
- 基于经过验证的开源项目;
- 由用户和开发人员组成的大型社区。
限制
- 不支持云平台(例如AWS或Azure)的监控;
- 没有日志管理、可视化、自动化或与第三方服务的集成。
MozDef(Mozilla 防御平台)
Mozilla 开发的 MozDef SIEM 系统用于自动化安全事件处理流程。 该系统从头开始设计,旨在实现最大的性能、可扩展性和容错能力,采用微服务架构——每个服务都在 Docker 容器中运行。
与 OSSIM 一样,MozDef 构建在经过时间考验的开源项目上,包括 Elasticsearch 日志索引和搜索模块、用于构建灵活 Web 界面的 Meteor 平台以及用于可视化和绘图的 Kibana 插件。
事件关联和警报是使用 Elasticsearch 查询执行的,它允许您使用 Python 编写自己的事件处理和警报规则。 据 Mozilla 称,MozDef 每天可以处理超过 300 亿个事件。 MozDef 仅接受 JSON 格式的事件,但与第三方服务集成。
优点
- 不使用代理 - 使用标准 JSON 日志;
- 得益于微服务架构,可轻松扩展;
- 支持AWS CloudTrail、GuardDuty等云服务数据源。
限制
- 新的且不太成熟的系统。
瓦祖
Wazuh 最初是作为 OSSEC 的一个分支进行开发的,OSSEC 是最流行的开源 SIEM 之一。 现在它是自己独特的解决方案,具有新功能、错误修复和优化架构。
该系统构建在ElasticStack堆栈(Elasticsearch、Logstash、Kibana)之上,支持基于代理的数据收集和系统日志摄取。 这使得它可以有效地监控生成日志但不支持代理安装的设备 - 网络设备、打印机和外围设备。
Wazuh 支持现有的 OSSEC 代理,甚至提供从 OSSEC 迁移到 Wazuh 的指导。 尽管 OSSEC 仍然受到积极支持,但由于添加了新的 Web 界面、REST API、更完整的规则集以及许多其他改进,Wazuh 被视为 OSSEC 的延续。
优点
- 基于并兼容流行的SIEM OSSEC;
- 支持多种安装选项:Docker、Puppet、Chef、Ansible;
- 支持云服务监控,包括AWS、Azure;
- 包括一套全面的规则来检测多种类型的攻击,并允许您根据 PCI DSS v3.1 和 CIS 进行比较。
- 与 Splunk 日志存储和分析系统集成,以实现事件可视化和 API 支持。
限制
- 复杂的架构 - 除了 Wazuh 后端组件之外,还需要完整的 Elastic Stack 部署。
前奏操作系统
Prelude OSS 是商业 Prelude SIEM 的开源版本,由法国 CS 公司开发。 该解决方案是一个灵活的模块化 SIEM 系统,支持多种日志格式,与 OSSEC、Snort 和 Suricata 网络检测系统等第三方工具集成。
每个事件都使用 IDMEF 格式标准化为消息,从而简化了与其他系统的数据交换。 但美中不足的是,与 Prelude SIEM 的商业版本相比,Prelude OSS 在性能和功能上非常有限,并且更多地用于小型项目或研究 SIEM 解决方案和评估 Prelude SIEM。
优点
- 经过时间考验的系统,自 1998 年开发;
- 支持多种不同的日志格式;
- 将数据标准化为 IMDEF 格式,从而可以轻松地将数据传输到其他安全系统。
限制
- 与其他开源 SIEM 系统相比,功能和性能明显受到限制。
萨根
Sagan是一个高性能的SIEM,强调与Snort的兼容性。 除了支持为 Snort 编写的规则之外,Sagan 还可以写入 Snort 数据库,甚至可以与 Shuil 接口一起使用。 本质上,它是一个轻量级多线程解决方案,提供新功能,同时对 Snort 用户保持友好。
优点
- 完全兼容Snort数据库、规则和用户界面;
- 多线程架构提供高性能。
限制
- 一个相对年轻的项目,社区较小;
- 复杂的安装过程,涉及从源构建整个 SIEM。
结论
所描述的每个 SIEM 系统都有其自身的特点和局限性,因此它们不能称为适用于任何组织的通用解决方案。 然而,这些解决方案是开源的,允许部署、测试和评估它们,而不会产生过多的成本。
您还可以在博客上读到什么有趣的内容?
→
→
→
→
→
订阅我们的
来源: habr.com