5 sistem manajemen acara keamanan sumber terbuka



Bagaimana penjaga keamanan TI yang baik berbeda dari yang biasa? Tidak, tidak dengan fakta bahwa pada waktu tertentu ia akan mengingat dari ingatan jumlah pesan yang dikirim manajer Igor kemarin kepada kolega Maria. Petugas keamanan yang baik mencoba mengidentifikasi kemungkinan pelanggaran di muka dan menangkapnya secara real time, melakukan segala upaya sehingga tidak ada kelanjutan dari insiden tersebut. Sistem manajemen acara keamanan (SIEM, dari Informasi keamanan dan manajemen acara) sangat menyederhanakan tugas merekam dan memblokir segala upaya pelanggaran dengan cepat.

Secara tradisional, sistem SIEM menggabungkan sistem manajemen keamanan informasi dan sistem manajemen acara keamanan. Fitur penting dari sistem adalah analisis peristiwa keselamatan waktu nyata, yang memungkinkannya merespons kerusakan yang ada.

Tugas utama sistem SIEM:

  • Pengumpulan data dan normalisasi
  • Korelasi data
  • Peringatan
  • Panel visualisasi
  • Organisasi penyimpanan data
  • Pencarian dan Analisis Data
  • Pelaporan

Alasan tingginya permintaan untuk sistem SIEM


Baru-baru ini, kompleksitas dan koordinasi serangan terhadap sistem informasi telah sangat meningkat. Pada saat yang sama, kompleks alat perlindungan informasi yang digunakan menjadi lebih rumit - sistem deteksi intrusi jaringan dan host, sistem DLP, sistem anti-virus dan firewall, pemindai kerentanan, dan banyak lagi. Setiap perlindungan berarti menghasilkan aliran peristiwa dengan detail berbeda dan seringkali serangan hanya dapat dilihat dengan tumpang tindih acara dari sistem yang berbeda.

Banyak yang telah ditulis tentang semua jenis sistem SIEM komersial, tetapi kami menawarkan ikhtisar singkat tentang sistem SIEM open-source gratis yang lengkap yang tidak memiliki batasan buatan pada jumlah pengguna atau volume data yang diterima / disimpan, dan juga dengan mudah dapat diskalakan dan didukung. Kami berharap ini akan membantu menilai potensi sistem tersebut dan memutuskan apakah akan mengintegrasikan solusi tersebut ke dalam proses bisnis perusahaan.

AlienVault OSSIM




AlienVault OSSIM adalah versi open-source dari AlienVault USM, salah satu sistem SIEM komersial terkemuka. OSSIM adalah kerangka kerja yang terdiri dari beberapa proyek sumber terbuka, termasuk sistem jaringan deteksi intrusi Snort, jaringan Nagios dan sistem pemantauan host, sistem deteksi intrusi host OSSEC dan pemindai kerentanan OpenVAS.

Untuk perangkat pemantauan, AlienVault Agent digunakan, yang mengirimkan log dari host dalam format syslog ke platform GELF atau dapat digunakan oleh plug-in untuk integrasi dengan layanan pihak ketiga, seperti layanan reverse proxy Cloudflare atau sistem otentikasi multi-faktor Okta.

Versi USM berbeda dari OSSIM dalam hal peningkatan manajemen log, pemantauan infrastruktur cloud, otomatisasi, dan ancaman terbaru dan informasi visualisasi.

Manfaatnya

  • Dibangun pada proyek sumber terbuka yang terbukti;
  • Komunitas besar pengguna dan pengembang.

Kekurangan

  • Tidak mendukung pemantauan platform cloud (misalnya, AWS atau Azure);
  • Tidak ada manajemen log, visualisasi, otomatisasi, dan integrasi dengan layanan pihak ketiga.

Sumber

MozDef (Platform Mozilla Defense)




Sistem MozDef SIEM Mozilla digunakan untuk mengotomatiskan penanganan insiden keamanan. Sistem ini dirancang dari bawah ke atas untuk kinerja maksimum, skalabilitas, dan toleransi kesalahan, dengan arsitektur layanan mikro - setiap layanan dijalankan dalam wadah Docker.

Seperti OSSIM, MozDef dibangun di atas proyek open source yang telah teruji waktu, termasuk modul logging dan pencarian indeks Elasticsearch, platform Meteor untuk membangun antarmuka web yang fleksibel, dan plugin Kibana untuk visualisasi dan grafik.

Korelasi dan pemberitahuan acara dilakukan menggunakan permintaan Elasticsearch, yang memungkinkan Anda untuk menulis aturan Anda sendiri untuk pemrosesan acara dan peringatan menggunakan Python. Menurut Mozilla, MozDef dapat menangani lebih dari 300 juta acara per hari. MozDef hanya menerima acara dalam format JSON, tetapi ada integrasi dengan layanan pihak ketiga.

Manfaatnya

  • Itu tidak menggunakan agen - ia bekerja dengan log JSON standar;
  • Mudah untuk skala berkat arsitektur layanan mikro;
  • Mendukung sumber data layanan cloud, termasuk AWS CloudTrail dan GuardDuty.

Kekurangan

  • Sistem baru dan kurang mapan.

Sumber

Wazuh




Wazuh mulai berevolusi sebagai garpu OSSEC, salah satu SIEM open source paling populer. Dan sekarang ini adalah solusi uniknya sendiri dengan fungsionalitas baru, perbaikan bug, dan arsitektur yang dioptimalkan.

Sistem ini dibangun di atas tumpukan ElasticStack (Elasticsearch, Logstash, Kibana) dan mendukung pengumpulan data berbasis agen dan penerimaan log sistem. Ini membuatnya efektif untuk memonitor perangkat yang menghasilkan log tetapi tidak mendukung instalasi agen - perangkat jaringan, printer, dan periferal.

Wazuh mendukung agen OSSEC yang ada dan bahkan memberikan panduan tentang migrasi dari OSSEC ke Wazuh. Meskipun OSSEC masih didukung secara aktif, Wazuh dipandang sebagai kelanjutan dari OSSEC karena penambahan antarmuka web baru, REST API, seperangkat aturan yang lebih lengkap, dan banyak perbaikan lainnya.

Manfaatnya

  • Didirikan dan kompatibel dengan SIEM OSSEC yang populer;
  • Mendukung berbagai opsi instalasi: Docker, Wayang, Koki, Ansible;
  • Mendukung pemantauan layanan cloud, termasuk AWS dan Azure;
  • Ini mencakup seperangkat aturan komprehensif untuk mendeteksi berbagai jenis serangan dan memungkinkan Anda untuk mencocokkannya sesuai dengan PCI DSS v3.1 dan CIS.
  • Terintegrasi dengan penyimpanan log dan sistem analisis Splunk untuk visualisasi acara dan dukungan API.

Kekurangan

  • Arsitektur yang canggih - membutuhkan penyebaran penuh Elastic Stack di samping komponen server Wazuh.

Sumber

Pendahuluan OSS




Prelude OSS adalah versi open-source dari SIEL Prelude komersial, yang dikembangkan oleh perusahaan Prancis CS. Solusinya adalah sistem SIEM modular yang fleksibel yang mendukung banyak format log, integrasi dengan alat pihak ketiga seperti OSSEC, Snort dan sistem deteksi jaringan Suricata.

Setiap peristiwa dinormalisasi ke pesan dalam format IDMEF, yang menyederhanakan pertukaran data dengan sistem lain. Tetapi ada lalat di salep - Prelude OSS sangat terbatas dalam kinerja dan fungsionalitas dibandingkan dengan versi komersial Prelude SIEM, dan lebih ditujukan untuk proyek-proyek kecil atau untuk mempelajari solusi SIEM dan mengevaluasi Prelude SIEM.

Manfaatnya

  • Sistem yang telah teruji waktu dikembangkan sejak 1998;
  • Mendukung banyak format log yang berbeda;
  • Menormalkan data ke format IMDEF, yang membuatnya mudah untuk mentransfer data ke sistem keamanan lainnya.

Kekurangan

  • Secara fungsional fungsi dan kinerja sangat terbatas dibandingkan dengan sistem SIEM open-source lainnya.

Sumber

Sagan




Sagan adalah SIEM kinerja tinggi yang menekankan kompatibilitas Snort. Selain aturan pendukung yang ditulis untuk Snort, Sagan dapat menulis ke database Snort dan bahkan dapat digunakan dengan antarmuka Shuil. Pada dasarnya, ini adalah solusi multi-utas ringan yang menawarkan fitur baru dengan tetap ramah pengguna untuk Snort.

Manfaatnya

  • Sepenuhnya kompatibel dengan database Snort, aturan, dan antarmuka pengguna;
  • Arsitektur multi-utas memberikan kinerja tinggi.

Kekurangan

  • Proyek yang relatif muda dengan komunitas kecil;
  • Proses instalasi yang kompleks, termasuk perakitan seluruh SIEM dari sumbernya.

Sumber

Kesimpulan


Setiap sistem SIEM yang diuraikan memiliki kekhasan dan keterbatasannya sendiri, oleh karena itu mereka tidak dapat disebut solusi universal untuk organisasi mana pun. Namun, solusi ini memiliki kode sumber terbuka, yang memungkinkan Anda untuk menggunakan, menguji dan mengevaluasi mereka tanpa biaya yang tidak perlu.

Apa lagi yang menarik untuk dibaca di blog Cloud4Y

→ VNIITE dari planet keseluruhan: bagaimana di USSR mereka datang dengan sistem "rumah pintar"
→ Bagaimana Antarmuka Saraf Neural Membantu Kemanusiaan
→ Asuransi cyber di pasar Rusia
→ Cahaya, kamera ... cloud: bagaimana cloud mengubah industri film
→ Sepak bola di awan - mode atau kebutuhan?

Berlangganan saluran Telegram kami agar tidak ketinggalan artikel lain! Kami menulis tidak lebih dari dua kali seminggu dan hanya untuk bisnis.

Source: https://habr.com/ru/post/id459442/


All Articles