5 open-source систем управления событиями безопасности
На модерации
Отложенный
Чем хороший безопасник в ИТ-сфере отличается от обычного? Нет, не тем, что он в любой момент времени по памяти назовёт количество сообщений, которые менеджер Игорь отправил вчера коллеге Марии. Хороший безопасник старается выявить возможные нарушения заранее и отлавливать их в режиме реального времени, прилагая все силы, чтобы не было продолжения инцидента. Системы управления событиями безопасности (SIEM, от Security information and event management) значительно упрощают задачу быстрой фиксации и блокировки любых попыток нарушений.
Традиционно SIEM-системы объединяют в себе систему управления информационной безопасностью и систему управления событиями безопасности. Важной особенностью систем является анализ событий безопасности в реальном времени, что позволяет реагировать на них до наступления существующего ущерба.
Основные задачи SIEM-систем:
- Сбор и нормализация данных
- Корреляция данных
- Оповещение
- Панели визуализации
- Организация хранения данных
- Поиск и анализ данных
- Отчетность
Причины высокого спроса на SIEM-системы
За последнее время сильно повысились сложность и координированность атак на информационные системы. Вместе с тем усложняется и применяемый комплекс средств защиты информации— сетевые и хостовые системы обнаружения вторжений, DLP-системы, антивирусные системы и межсетевые экраны, сканеры уязвимостей и прочее. Каждое средство защиты генерирует поток событий с разной детализацией и зачастую увидеть атаку можно только по наложению событий из разных систем.
Про всевозможные коммерческие SIEM-системы много чего написано, но мы предлагаем краткий обзор бесплатных полноценных опенсорсных SIEM-систем, которые не имеют искусственных ограничений на количество пользователей или объёмы принимаемых\хранимых данных, а также легко масштабируются и поддерживаются. Надеемся, это поможет оценить потенциал подобных систем и принять решение, стоит ли интегрировать такие решения в бизнес-процессы компании.
AlienVault OSSIM
AlienVault OSSIM – это open-source версия AlienVault USM, одной из лидирующих коммерческих SIEM-систем. OSSIM представляет собой фреймворк, состоящий из нескольких проектов с открытым исходным кодом, включая cетевую систему обнаружения вторжений Snort, систему мониторинга сетей и узлов Nagios, хостовую систему обнаружения вторжений OSSEC и сканер уязвимостей OpenVAS.
Для мониторинга за устройствами используется AlienVault Agent, который отправляет журналы с хоста в формате syslog в платформу GELF или может использоваться плагин для интеграции со сторонними сервисами, такими как сервис реверсного проксирования сайтов Cloudflare или системой многофакторной аутентификации Okta.
Версия USM отличается от OSSIM расширенной функциональностью управления журналами, мониторинга облачной инфраструктуры, автоматизации, и обновляемой информацией об угрозах и визуализацией.
Преимущества
- Построена на проверенных open-source проектах;
- Большое сообщество пользователей и разработчиков.
Недостатки
- Не поддерживает мониторинг облачных платформ (например, AWS или Azure);
- Отсутствует управление логами, визуализация, автоматизация и интеграция со сторонними сервисами.
Source
MozDef (Mozilla Defense Platform)
Разработанная Mozilla SIEM-система MozDef используется для автоматизации процессов обработки инцидентов безопасности. Система разработана с нуля для получения максимального быстродействия, масштабируемости и отказоустойчивости, с микросервисной архитектурой – каждый сервис работает в контейнере Docker.
Как и OSSIM, MozDef построена на проверенных временем опенсорсных проектах, включающих модуль индексирования логов и поиска Elasticsearch, платформу Meteor для построения гибкого web-интерфейса, и плагин Kibana для визуализации и построения графиков.
Корреляция событий и оповещение выполняется с использованием запросом Elasticsearch, что позволяет написать собственные правила обработки событий и оповещения с использованием Python. Со слов Mozilla, MozDef может обрабатывать более 300 миллионов событий в день. MozDef принимает события только в формате JSON, но есть интеграция со сторонними сервисами.
Преимущества
- Не использует агентов – работает со стандартными логами JSON;
- Легко масштабируется благодаря микросервисной архитектуре;
- Поддерживает источники данных облачных сервисов, включая AWS CloudTrail и GuardDuty.
Недостатки
- Новая и менее устоявшаяся система.
Source
Wazuh
Wazuh начала развивалась как форк OSSEC, одной из самых популярных SIEM с открытым кодом. И теперь это собственное уникальное решение с новой функциональностью, исправленными ошибками и оптимизированной архитектурой.
Система построена на стеке ElasticStack (Elasticsearch, Logstash, Kibana) и поддерживает как сбор данных на основе агентов, так и прием системных журналов. Это делает её эффективной для мониторинга устройств, которые генерируют журналы, но не поддерживают установку агента – сетевые устройства, принтеры и перифирия.
Wazuh поддерживает существующие агенты OSSEC и даже предоставляет руководство по миграции с OSSEC на Wazuh. Хотя OSSEC все еще активно поддерживается, Wazuh рассматривается как продолжение OSSEC из-за добавление нового веб-интерфейса, REST API, более полного набора правил и многих других улучшений.
Преимущества
- Основана и совместима с популярной SIEM OSSEC;
- Поддерживает различные варианты установки: Docker, Puppet, Chef, Ansible;
- Поддерживает мониторинг облачных сервисов, включая AWS и Azure;
- Включает комплексный набор правил, для обнаружения множества типов атак и позволяет сопоставлять их в соответствие с PCI DSS v3.1 и CIS.
- Интегрируется с системой хранения и анализа логов Splunk визуализации событий и поддержки API.
Недостатки
- Сложная архитектура — требует полного развёртывания Elastic Stack в дополнение к серверным компонентам Wazuh.
Source
Prelude OSS
Prelude OSS – это open-source версия коммерческой Prelude SIEM, разработанной французской компанией CS. Решение представляет собой гибкую модульную SIEM-систему, поддерживающую множество форматов логов, интеграцию со сторонними инструментами такими как OSSEC, Snort и сетевую систему обнаружения Suricata.
Каждое событие нормализуется в сообщение по формату IDMEF, что упрощает обмен данными с другими системами. Но есть и ложка дёгтя — Prelude OSS сильно ограничена по производительности и функциональности по сравнению с коммерческой версией Prelude SIEM, и предназначена скорее для небольших проектов или для изучения решений SIEM и оценки Prelude SIEM.
Преимущества
- Опробованная временем система, разрабатываемая с 1998 г.;
- Поддерживает множество различных форматов логов;
- Нормализует данные к формату IMDEF, что позволяет легко передавать данные в другие системы безопасности.
Недостатки
- Значительно ограничена по функциональности и производительности по сравнению с другими open-source SIEM-системами.
Source
Sagan
Sagan — это высокопроизводительная SIEM, которая подчеркивает совместимость со Snort. Помимо поддержки правил, написанных для Snort, Sagan может выполнять запись в базу данных Snort и даже может использоваться с интерфейсом Shuil. По сути, это лёгкое многопоточное решение, которое предлагает новые функции, оставаясь дружественным к пользователям Snort.
Преимущества
- Полностью совместима с базой данных Snort, правилами, и пользовательским интерфейсом;
- Многопоточная архитектура обеспечивает высокую производительность.
Недостатки
- Сравнительно молодой проект с небольшим сообществом;
- Сложный процесс установки, включающий сборку всей SIEM из исходников.
Source
Заключение
У каждой из описанных SIEM-систем есть свои особенности и ограничения, поэтому их нельзя назвать универсальным решением для любой организации. Однако у этих решений открыт код, что позволяет развертывать, тестировать и оценивать их без чрезмерных расходов.
Комментарии