كيف يختلف حارس أمن تكنولوجيا المعلومات الجيد عن حارس عادي؟ لا ، ليس بحقيقة أنه في أي وقت معين سيتذكر من الذاكرة عدد الرسائل التي أرسلها المدير إيغور أمس إلى زميل ماريا. يحاول حارس الأمن الجيد تحديد الانتهاكات المحتملة مقدماً والقبض عليها في الوقت الفعلي ، مع بذل كل جهد ممكن حتى لا يكون هناك أي استمرار للحادث. تعمل أنظمة إدارة الأحداث الأمنية (SIEM ، من معلومات الأمان وإدارة الأحداث) على تبسيط مهمة تسجيل وحظر أي محاولات انتهاك بشكل سريع.تقليديا ، تجمع أنظمة SIEM بين نظام إدارة أمن المعلومات ونظام إدارة الأحداث الأمنية. تتمثل إحدى الميزات المهمة للأنظمة في تحليل الأحداث الأمنية في الوقت الفعلي ، مما يتيح لها الاستجابة للأضرار الحالية.
المهام الرئيسية لأنظمة SIEM:- جمع البيانات وتطبيعها
- ارتباط البيانات
- إعلام
- لوحات التصور
- تنظيم تخزين البيانات
- البحث عن البيانات وتحليلها
- التقارير
أسباب ارتفاع الطلب على أنظمة SIEM
في الآونة الأخيرة ، زاد تعقيد وتنسيق الهجمات على أنظمة المعلومات بشكل كبير. في الوقت نفسه ، أصبح مجمع أدوات حماية المعلومات المستخدمة أكثر تعقيدًا - أنظمة اكتشاف اقتحام الشبكات والمضيف وأنظمة DLP وأنظمة مكافحة الفيروسات وجدران الحماية وماسحات عدم الحصانة وما إلى ذلك. كل وسيلة حماية تولد دفقًا من الأحداث بتفاصيل مختلفة وغالبًا ما لا يمكن رؤية أي هجوم إلا من خلال تداخل الأحداث من أنظمة مختلفة.
لقد
كتب الكثير عن جميع أنواع أنظمة SIEM التجارية ، لكننا نقدم لمحة موجزة عن أنظمة SIEM المجانية مفتوحة المصدر الكاملة التي لا تحتوي على قيود مصطنعة على عدد المستخدمين أو وحدات تخزين البيانات المستلمة / المخزنة ، كما أنها قابلة للتطوير والدعم بسهولة. نأمل أن يساعد ذلك في تقييم إمكانات هذه الأنظمة وتحديد ما إذا كان سيتم دمج هذه الحلول في عمليات الشركة التجارية.
AlienVault OSSIM
AlienVault OSSIM هو نسخة مفتوحة المصدر من AlienVault USM ، أحد أنظمة SIEM التجارية الرائدة. OSSIM هو إطار يتكون من عدة مشاريع مفتوحة المصدر ، بما في ذلك نظام الكشف عن التسلل Snort ، شبكة Nagios ونظام مراقبة المضيف ، OSSEC نظام كشف التسلل المضيف و OpenVAS الماسح الضوئي الضعف.
بالنسبة لأجهزة المراقبة ، يتم استخدام AlienVault Agent ، الذي يرسل سجلات من المضيف بتنسيق syslog إلى نظام GELF أو يمكن استخدامه من خلال مكون إضافي للتكامل مع خدمات الجهات الخارجية ، مثل خدمة الوكيل العكسي لموقع Cloudflare أو نظام مصادقة Okta متعدد العوامل.
يختلف إصدار USM عن OSSIM من حيث إدارة السجل المحسنة ، ومراقبة البنية التحتية السحابية ، والتشغيل الآلي ، ومعلومات التهديد والتصور المحدثة.
الفوائد- مبنية على مشاريع مفتوحة المصدر أثبتت جدواها ؛
- مجتمع كبير من المستخدمين والمطورين.
القصور- لا يدعم مراقبة المنصات السحابية (على سبيل المثال ، AWS أو Azure) ؛
- لا توجد إدارة سجلات وتصور وأتمتة وتكامل مع خدمات الجهات الخارجية.
مصدرMozDef (منهاج الدفاع موزيلا)
يستخدم نظام MozDef SIEM من Mozilla لأتمتة معالجة الحوادث الأمنية. تم تصميم النظام من الألف إلى الياء لتحقيق أقصى قدر من الأداء ، وقابلية التوسع وتحمل الأعطال ، مع بنية الخدمة المصغرة - يتم تشغيل كل خدمة في حاوية Docker.
مثل OSSIM ، تم تصميم MozDef على مشاريع مفتوحة المصدر تم اختبارها على مدار الوقت ، بما في ذلك وحدة تسجيل وفهرسة Elasticsearch ، ومنصة Meteor لبناء واجهة ويب مرنة ، و Kibana plugin للتصور والرسوم البيانية.
يتم تنفيذ ارتباط الحدث والإخطار باستخدام طلب Elasticsearch ، الذي يسمح لك بكتابة القواعد الخاصة بك لمعالجة الأحداث والتنبيهات باستخدام Python. وفقًا لموزيلا ، يستطيع MozDef التعامل مع أكثر من 300 مليون حدث يوميًا. يقبل MozDef الأحداث بتنسيق JSON فقط ، ولكن هناك تكامل مع خدمات الجهات الخارجية.
الفوائد- لا يستخدم الوكلاء - إنه يعمل مع سجلات JSON القياسية ؛
- سهولة القياس بفضل بنية الخدمة الصغيرة ؛
- يدعم مصادر بيانات الخدمة السحابية ، بما في ذلك AWS CloudTrail و GuardDuty.
القصورمصدرWazuh
بدأت Wazuh في التطور كشوكة من OSSEC ، واحدة من SIEMs مفتوحة المصدر الأكثر شعبية. والآن هذا هو الحل الفريد الخاص به مع وظائف جديدة وإصلاح الأخطاء والبنية المحسنة.
تم بناء النظام على بنية FlexStack (Elasticsearch و Logstash و Kibana) ويدعم كلاً من جمع البيانات المستندة إلى الوكيل واستقبال سجلات النظام. هذا يجعله فعالاً لمراقبة الأجهزة التي تنشئ سجلات ولكن لا تدعم تثبيت الوكيل - أجهزة الشبكة والطابعات والأجهزة الطرفية.
تدعم Wazuh وكلاء OSSEC الحاليين ، كما تقدم إرشادات حول الترحيل من OSSEC إلى Wazuh. على الرغم من أن OSSEC لا يزال مدعومًا بشكل نشط ، إلا أن Wazuh تعتبر امتدادًا لـ OSSEC نظرًا لإضافة واجهة ويب جديدة و REST API ومجموعة أكمل من القواعد والعديد من التحسينات الأخرى.
الفوائد- تأسست ومتوافقة مع SIEM OSSEC الشعبية ؛
- يدعم خيارات التثبيت المختلفة: Docker ، Puppet ، Chef ، Ansible ؛
- يدعم مراقبة الخدمات السحابية ، بما في ذلك AWS و Azure ؛
- يتضمن مجموعة شاملة من القواعد لاكتشاف العديد من أنواع الهجمات ويسمح لك بمطابقتها وفقًا لمعايير PCI DSS v3.1 و CIS.
- يتكامل مع نظام تخزين وتحليل سجلات Splunk لتصور الأحداث ودعم واجهة برمجة التطبيقات.
القصور- بنية متطورة - تتطلب النشر الكامل لـ Elastic Stack بالإضافة إلى مكونات خادم Wazuh.
مصدرمقدمة OSS
Prelude OSS هي نسخة مفتوحة المصدر من Prelude SIEM التجارية ، التي طورتها شركة CS الفرنسية. الحل هو نظام مرن وحدات SIEM يدعم العديد من تنسيقات السجل ، والتكامل مع أدوات الطرف الثالث مثل OSSEC ، Snort و Suricata نظام الكشف عن الشبكة.
يتم ضبط كل حدث على رسالة بتنسيق IDMEF ، مما يبسط تبادل البيانات مع الأنظمة الأخرى. ولكن هناك تطاير في المرهم - Prelude OSS محدود للغاية في الأداء والوظائف مقارنة بالإصدار التجاري من Prelude SIEM ، وهو مخصص للمشاريع الصغيرة أو لدراسة حلول SIEM وتقييم Prelude SIEM.
الفوائد- نظام تم اختباره بواسطة الزمن تم تطويره منذ عام 1998 ؛
- يدعم العديد من صيغ السجل المختلفة ؛
- تطبيع البيانات إلى تنسيق IMDEF ، مما يجعل من السهل نقل البيانات إلى أنظمة الأمان الأخرى.
القصور- محدودة بشكل كبير في الأداء والأداء مقارنة بأنظمة SIEM مفتوحة المصدر الأخرى.
مصدرساجان
SAGAN هو SIEM عالي الأداء يؤكد توافق Snort. بالإضافة إلى قواعد الدعم المكتوبة من أجل Snort ، يمكن لـ Sagan الكتابة إلى قاعدة بيانات Snort ويمكن حتى استخدامها مع واجهة Shuil. بشكل أساسي ، إنه حل متعدد الخيوط خفيف الوزن يوفر ميزات جديدة مع بقاء المستخدم سهل الاستخدام لـ Snort.
الفوائد- متوافقة تماما مع قاعدة بيانات Snort والقواعد ، واجهة المستخدم.
- توفر بنية متعددة الخيوط أداءً عاليًا.
القصور- مشروع صغير نسبيا مع مجتمع صغير ؛
- عملية تثبيت معقدة ، بما في ذلك تجميع SIEM بأكمله من المصدر.
مصدراستنتاج
كل نظام من أنظمة SIEM الموصوفة له خصائصه وقيوده الخاصة ، وبالتالي لا يمكن تسميته حلا عالميا لأي مؤسسة. ومع ذلك ، تحتوي هذه الحلول على شفرة مفتوحة المصدر ، والتي تتيح لك نشرها وتقييمها وتقييمها دون تكلفة لا داعي لها.
ما هو مثير للاهتمام للقراءة في مدونة Cloud4Y→
VNIITE لكوكب الأرض ككل: كيف توصلوا في الاتحاد السوفيتي إلى نظام "المنزل الذكي"→
كيف العصبية العصبية مساعدة الإنسانية→
التأمين على الإنترنت في السوق الروسية→
الضوء ، الكاميرا ... السحابة: كيف تغير السحب صناعة السينما→
كرة القدم في الغيوم - موضة أم ضرورة؟اشترك في قناة
Telegram الخاصة بنا حتى لا يفوتك مقال آخر! نكتب أكثر من مرتين في الأسبوع وفقط في الأعمال.