優秀的 IT 安全專家與一般專家有何不同? 不,不是因為在任何特定時間他都能憑記憶說出經理伊戈爾昨天向他的同事瑪麗亞發送的訊息數量。 優秀的安全專家會盡力提前識別可能的違規行為並即時捕獲它們,盡一切努力確保事件不會繼續發生。 安全事件管理系統(SIEM,來自安全資訊和事件管理)極大地簡化了快速記錄和阻止任何嘗試的違規行為的任務。
傳統上,SIEM 系統結合了資訊安全管理系統和安全事件管理系統。 該系統的一個重要功能是即時分析安全事件,使您能夠在現有損壞發生之前對其做出回應。
SIEM系統的主要任務:
- 數據收集和標準化
- 資料關聯
- 警報
- 視覺化面板
- 資料儲存的組織
- 資料檢索與分析
- 報告
SIEM系統需求高的原因
近年來,資訊系統攻擊的複雜性和協同性大大增加。 同時,所使用的資訊安全工具也變得更加複雜——基於網路和主機的入侵檢測系統、DLP系統、防毒系統和防火牆、漏洞掃描器等。 每個安全工具都會產生具有不同詳細程度的事件流,並且通常只能透過來自不同系統的重疊事件才能看到攻擊。
各種商業SIEM系統有很多 ,但我們提供了免費、成熟的開源 SIEM 系統的簡要概述,這些系統對用戶數量或接受的儲存資料量沒有人為限制,也易於擴展和支援。 我們希望這將有助於評估此類系統的潛力,並決定此類解決方案是否值得整合到公司的業務流程中。
AlienVault OSSIM
AlienVault OSSIM 是 AlienVault USM 的開源版本,AlienVault USM 是領先的商業 SIEM 系統之一。 OSSIM是一個由多個開源專案組成的框架,包括Snort網路入侵偵測系統、Nagios網路和主機監控系統、OSSEC基於主機的入侵偵測系統以及OpenVAS漏洞掃描器。
為了監控設備,可以使用 AlienVault Agent,它將日誌以 syslog 格式從主機發送到 GELF 平台,或者可以使用插件與第三方服務集成,例如 Cloudflare 網站反向代理服務或 Okta multi -因素認證系統。
USM 版本與 OSSIM 不同,它具有增強的日誌管理、雲端基礎設施監控、自動化以及更新的威脅資訊和視覺化功能。
優點
- 基於經過驗證的開源專案;
- 由使用者和開發人員組成的大型社群。
限制
- 不支援雲端平台(例如AWS或Azure)的監控;
- 沒有日誌管理、視覺化、自動化或與第三方服務的整合。
MozDef(Mozilla 防禦平台)
Mozilla 開發的 MozDef SIEM 系統用於自動化安全事件處理流程。 該系統從頭開始設計,旨在實現最大的效能、可擴展性和容錯能力,採用微服務架構——每個服務都在 Docker 容器中運行。
與 OSSIM 一樣,MozDef 建構在經過時間考驗的開源專案上,包括 Elasticsearch 日誌索引和搜尋模組、用於建立靈活 Web 介面的 Meteor 平台以及用於視覺化和繪圖的 Kibana 插件。
事件關聯和警報是使用 Elasticsearch 查詢執行的,它允許您使用 Python 編寫自己的事件處理和警報規則。 據 Mozilla 稱,MozDef 每天可以處理超過 300 億起事件。 MozDef 僅接受 JSON 格式的事件,但與第三方服務整合。
優點
- 不使用代理程式 - 使用標準 JSON 日誌;
- 得益於微服務架構,可輕鬆擴充;
- 支援AWS CloudTrail、GuardDuty等雲端服務資料來源。
限制
- 新的且不太成熟的系統。
瓦祖赫
Wazuh 最初是作為 OSSEC 的一個分支進行開發的,OSSEC 是最受歡迎的開源 SIEM 之一。 現在它是自己獨特的解決方案,具有新功能、錯誤修復和最佳化架構。
此系統建構在ElasticStack堆疊(Elasticsearch、Logstash、Kibana)之上,支援基於代理程式的資料收集和系統日誌攝取。 這使得它可以有效地監控生成日誌但不支援代理安裝的設備 - 網路設備、印表機和周邊設備。
Wazuh 支援現有的 OSSEC 代理,甚至提供從 OSSEC 遷移到 Wazuh 的指導。 儘管 OSSEC 仍然受到積極支持,但由於添加了新的 Web 介面、REST API、更完整的規則集以及許多其他改進,Wazuh 被視為 OSSEC 的延續。
優點
- 基於並相容於流行的SIEM OSSEC;
- 支援多種安裝選項:Docker、Puppet、Chef、Ansible;
- 支援雲端服務監控,包括AWS、Azure;
- 包括一套全面的規則來偵測多種類型的攻擊,並允許您根據 PCI DSS v3.1 和 CIS 進行比較。
- 與 Splunk 日誌儲存和分析系統集成,以實現事件視覺化和 API 支援。
限制
- 複雜的架構 - 除了 Wazuh 後端元件之外,還需要完整的 Elastic Stack 部署。
前奏操作系統
Prelude OSS 是商業 Prelude SIEM 的開源版本,由法國 CS 公司開發。 該解決方案是一個靈活的模組化 SIEM 系統,支援多種日誌格式,與 OSSEC、Snort 和 Suricata 網路檢測系統等第三方工具整合。
每個事件都使用 IDMEF 格式標準化為訊息,從而簡化了與其他系統的資料交換。 但美中不足的是,與 Prelude SIEM 的商業版本相比,Prelude OSS 在性能和功能上都非常有限,並且更多地用於小型專案或研究 SIEM 解決方案和評估 Prelude SIEM。
優點
- 經過時間考驗的系統,自 1998 年開發;
- 支援多種不同的日誌格式;
- 將資料標準化為 IMDEF 格式,從而可以輕鬆地將資料傳輸到其他安全系統。
限制
- 與其他開源 SIEM 系統相比,功能和效能明顯受到限制。
薩根
Sagan是一個高效能的SIEM,強調與Snort的兼容性。 除了支援為 Snort 編寫的規則之外,Sagan 還可以寫入 Snort 資料庫,甚至可以與 Shuil 介面一起使用。 本質上,它是一個輕量級多執行緒解決方案,提供新功能,同時對 Snort 用戶保持友好。
優點
- 完全相容Snort資料庫、規則和使用者介面;
- 多執行緒架構提供高效能。
限制
- 一個相對年輕的項目,社區較小;
- 複雜的安裝過程,涉及從來源建置整個 SIEM。
結論
所描述的每個 SIEM 系統都有其自身的特點和局限性,因此它們不能稱為適用於任何組織的通用解決方案。 然而,這些解決方案是開源的,允許部署、測試和評估它們,而不會產生過多的成本。
您還可以在部落格上讀到什麼有趣的內容?
→
→
→
→
→
訂閱我們的 -頻道,以免錯過下一篇文章! 我們每週寫信不超過兩次,而且僅限於公務。
來源: www.habr.com