好的IT安全卫士与普通安全卫士有何不同? 不,不是因为他会在任何给定的时间回忆起伊戈尔经理昨天发给玛丽亚同事的消息数量。 优秀的安全警卫会尽力尽早发现并实时发现可能的违规行为,并尽一切努力使事件不会继续发生。 安全事件管理系统(来自安全信息和事件管理的SIEM)大大简化了快速记录和阻止任何尝试的违规行为的任务。传统上,SIEM系统将信息安全管理系统和安全事件管理系统结合在一起。 该系统的一个重要功能是实时分析安全事件,使它们能够对现有损坏做出响应。
SIEM系统的主要任务是:- 数据收集与规范化
- 数据关联
- 警报
- 可视化面板
- 数据存储组织
- 资料搜寻与分析
- 报告中
对SIEM系统需求很高的原因
最近,对信息系统的攻击的复杂性和协调性大大提高了。 同时,所使用的信息保护工具的复杂性也变得越来越复杂-网络和主机入侵检测系统,DLP系统,防病毒系统和防火墙,漏洞扫描程序等等。 每个保护手段都会生成具有不同详细信息的事件流,并且通常只有通过重叠来自不同系统的事件才能看到攻击。
关于各种商业SIEM系统的文章很多,但我们简要概述了免费的,成熟的开源SIEM系统,这些系统对用户数量或接收/存储的数据量没有人为限制,并且易于扩展和支持。 我们希望这将有助于评估此类系统的潜力,并决定是否将此类解决方案集成到公司的业务流程中。
AlienVault OSSIM
AlienVault OSSIM是AlienVault USM的开源版本,它是领先的商业SIEM系统之一。 OSSIM是一个由几个开源项目组成的框架,其中包括Snort入侵检测网络系统,Nagios网络和主机监视系统,OSSEC主机入侵检测系统和OpenVAS漏洞扫描程序。
对于监视设备,使用AlienVault代理,该代理以syslog格式将日志从主机发送到GELF平台,或者可由插件用于与第三方服务集成,例如Cloudflare网站反向代理服务或Okta多因素身份验证系统。
USM版本在增强的日志管理,云基础架构监视,自动化以及更新的威胁和可视化信息方面与OSSIM不同。
好处- 建立在经过验证的开源项目上;
- 大量的用户和开发人员社区。
缺点- 不支持监视云平台(例如,AWS或Azure);
- 没有日志管理,可视化,自动化以及与第三方服务的集成。
来源MozDef(Mozilla防御平台)
Mozilla的MozDef SIEM系统用于自动化安全事件处理。 该系统从头开始设计,具有微服务架构,可实现最高性能,可伸缩性和容错能力-每个服务都在Docker容器中运行。
与OSSIM一样,MozDef建立在经过时间检验的开源项目上,包括Elasticsearch日志和搜索索引模块,用于构建灵活Web界面的Meteor平台以及用于可视化和图形化的Kibana插件。
事件关联和通知是使用Elasticsearch请求执行的,它允许您使用Python编写自己的事件处理和警报规则。 根据Mozilla的说法,MozDef每天可以处理超过3亿个事件。 MozDef仅接受JSON格式的事件,但与第三方服务集成。
好处- 它不使用代理-与标准JSON日志一起使用;
- 微服务架构易于扩展;
- 支持云服务数据源,包括AWS CloudTrail和GuardDuty。
缺点来源瓦祖
Wazuh作为OSSEC(最流行的开源SIEM之一)的分支而开始发展。 现在,这是它自己的独特解决方案,具有新功能,错误修复和优化的体系结构。
该系统构建在ElasticStack堆栈(Elasticsearch,Logstash,Kibana)上,并支持基于代理的数据收集和系统日志的接收。 这对于监视生成日志但不支持代理安装的设备(网络设备,打印机和外围设备)非常有效。
Wazuh支持现有的OSSEC代理,甚至提供有关从OSSEC迁移到Wazuh的指导。 尽管仍积极支持OSSEC,但由于增加了新的Web界面,REST API,更完整的规则集和许多其他改进,Wazuh被视为OSSEC的延续。
好处- 建立并与流行的SIEM OSSEC兼容;
- 支持各种安装选项:Docker,Puppet,Chef,Ansible;
- 支持监视包括AWS和Azure在内的云服务;
- 它包括一套全面的规则,用于检测多种类型的攻击,并允许您根据PCI DSS v3.1和CIS进行匹配。
- 与Splunk日志存储和分析系统集成,以提供事件可视化和API支持。
缺点- 复杂的体系结构-除了Wazuh服务器组件之外,还需要完整部署Elastic Stack。
来源前奏OSS
Prelude OSS是由法国CS公司开发的商业Prelude SIEM的开源版本。 该解决方案是一个灵活的模块化SIEM系统,它支持多种日志格式,并与OSSEC,Snort和Suricata网络检测系统等第三方工具集成。
每个事件都归一化为IDMEF格式的消息,从而简化了与其他系统的数据交换。 但美中不足的是-与商业版Prelude SIEM相比,Prelude OSS在性能和功能上非常有限,并且更适合于小型项目或研究SIEM解决方案并评估Prelude SIEM。
好处- 自1998年以来开发的经过时间考验的系统;
- 支持许多不同的日志格式;
- 将数据规范化为IMDEF格式,从而可以轻松地将数据传输到其他安全系统。
缺点- 与其他开源SIEM系统相比,其功能和性能受到很大限制。
来源萨根
Sagan是一种高性能SIEM,强调Snort兼容性。 除了支持为Snort编写的规则外,Sagan还可以写入Snort数据库,甚至可以与Shuil接口一起使用。 本质上,它是一个轻量级的多线程解决方案,在提供新功能的同时仍对Snort保持用户友好。
好处- 与Snort数据库,规则和用户界面完全兼容;
- 多线程体系结构可提供高性能。
缺点- 一个相对较小的社区小型项目;
- 复杂的安装过程,包括从源头组装整个SIEM。
来源结论
所描述的每个SIEM系统都有其自身的特征和局限性,因此不能将它们称为任何组织的通用解决方案。 但是,这些解决方案具有开放源代码,可让您无需花费过多费用即可部署,测试和评估它们。
在Cloud4Y博客上还有什么有趣的读物→
整个星球的VNIITE:他们如何在苏联提出“智能家居”系统→
神经接口如何帮助人类→
俄罗斯市场的网络保险→
光线,相机...云:云如何改变电影业→
足球在云端-是时尚还是必需品?订阅我们的
电报频道,以免错过其他文章! 我们每周写不超过两次,并且只在商务上写。