6大开源SIEM专用工具,安全性信息内容和事件管理方法的“神器”
为了更好地维护IT自然环境免遭黑客攻击并遵循严苛的合规管理规范,安全性信息内容和事件管理方法(SIEM)系统软件已经变成愈来愈多公司执行的安全性案例的基础。
有专业的服务平台出示一体化SIEM解决方案,如LogRhythm,QRadar和ArcSight。这种解决方案自然价格比较贵,特别是在长期性和知名企业中,因而愈来愈多的公司已经找寻开源SIEM服务平台。
可是,是不是有一个包括全部基础SIEM原素的开源服务平台?
简易回应是“沒有”。沒有全部功能于一身的极致的开源SIEM系统软件。目前的解决方案要不欠缺关键SIEM功能,如事情关系和汇报,要不必须与别的专用工具融合应用。殊不知,有一些非常好的开源挑选。
1.OSSIM
AlienVault的统一安全工作(USM)商品的开源版本OSSIM可能是更火爆的开源SIEM服务平台之一。OSSIM包含重要的SIEM部件,即事情收集,解决和规范性,最重要的是事情关系。
OSSIM将当地日志储存和关系功能与诸多开源新项目融合在一起,以搭建详细的SIEM。OSSIM中包括的开源新项目目录包含FProbe,Munin,Nagios,NFSen / NFDump,OpenVAS,OSSEC,PRADS,Snort,Suricata和TCPTrack。
OpenVAS的引进尤其造成客户的兴趣爱好,由于OpenVAS根据将IDS日志与漏洞扫描系统結果关系起來用以系统漏洞评定。
如同客户所期待的那般,开源OSSIM不象其商业服务“名人老大哥”那般功能丰富多彩。这二种解决方案都适用中小型布署,但OSSIM客户在经营规模上碰到重特大特性难题,最后将她们引向商业商品。比如,OSSIM的开源版本中的日志管理方法功能基本上不会有。
2.ELK Stack
ELK Stack或Elastic Stack现如今已经重命名,能够说成现阶段在SIEM系统软件中作为搭建块的最火爆的开源专用工具。模块化设计的详细的SIEM系统软件?不,由于ELK Stack是不是合乎“一体化”SIEM系统软件的资质有非常大的异议室内空间。
ELK Stack由开源商品Elasticsearch,Logstash,Kibana和Beats系列产品日志传输构成。
Logstash是一个日志汇聚器,能够收集和解决来源于基本上一切数据库的数据信息。它能够过虑,解决,关系而且一般提高它收集的一切日志数据信息。Elasticsearch是储存模块,是其时间序列分析数据储存和数据库索引行业的最好解决方案之一。 Kibana是局部变量中的数据可视化层,它是一个十分强劲的数据可视化层。Beats包含各种各样轻量日志传输,承担收集数据信息并根据Logstash将其发送至局部变量。
Logstash应用各种各样键入软件来收集日志。可是,它还可以接纳大量专用型解决方案(如OSSEC或Snort)的键入。融合起來,ELK Stack的日志解决,储存和数据可视化功能在功能上是无以伦比的。殊不知,针对SIEM来讲,ELK Stack最少在其初始开源文件格式中缺乏一些重要部件。
最先,沒有内嵌的汇报或报警功能。这是一个已经知道的困扰,不但针对试着将局部变量用以安全系数的客户并且针对更普遍的测试用例而言也是这般——比如IT实际操作。报警能够根据应用X-Pack(Elastic的商业服务商品)或根据加上开源安全性配件来加上。
都没有能够应用的内嵌安全性标准。这促使局部变量在解决資源和经营成本层面成本费高些。
3.OSSEC
OSSEC是一种时兴的开源服务器入侵防御系统系统软件(HIDS),可与各种各样电脑操作系统(包含Linux,Windows,MacOS,Solaris及其OpenBSD和FreeBSD)协调工作。
OSSEC自身分成2个关键部件:承担收集来源于不一样数据库的日志数据信息的管理工具(或网络服务器),及其承担收集和解决日志并使其更便于剖析的应用软件。
OSSEC立即监控服务器上的好几个主要参数。这包含日志文档,文档一致性,rootkit检验和Windows注册表文件监控。OSSEC能够从别的互联网服务(包含大部分时兴的开源FTP,电子邮件,DNS,数据库查询,Web,服务器防火墙和根据互联网的IDS解决方案)实行日志剖析。OSSEC还能够剖析来源于很多商业服务互联网服务和安全性解决方案的日志。
OSSEC有很多报警选择项,能够作为全自动入侵防御系统或积极回应解决方案的一部分。OSSEC有一个初始的日志储存模块。默认设置状况下,来源于服务器代理商的日志信息不容易保存。剖析进行后,OSSEC将删掉这种日志,除非是OSSEC管理工具文档中包括选择项。假如开启此选择项,OSSEC将来源于代理商的传到日志储存在每日交替的文本文档中。
4.Apache Metron
从构架的视角看来,Metron借助别的Apache新项目来收集,传送和解决安全性数据信息。 Apache Nifi和Metron探头从安全性数据库收集数据信息,随后将这种数据信息消息推送到独立的Apache Kafka中。事情接着被分析并归一化为规范的JSON,随后被加强并在一些状况下被标识。假如明确一些事情种类,则能够开启报警。为了更好地数据可视化,应用Kibana(虽然是落伍的版本)
针对储存,事情被数据库索引并储存在Apache Hadoop中,而且根据公司的首选项在Elasticsearch或Solr中储存。在这种数据信息的基本上,Metron出示了一个页面,用以集中化分析数据,并出示报警引言和丰富多彩的数据信息。
Metron在一些层面依然欠缺。Metron只有安裝在比较有限总数的电脑操作系统和自然环境中,虽然它根据Ansible适用自动化技术情景并根据Docker安装(只限Mac和Windows)。UI有点儿不成熟,而且不兼容身份认证。
5.SIEMonster
SIEMonster是另一位年青的SIEM游戏玩家,但也是十分火爆的一员,短短的2年内注册量超出十万次。SIEMonster根据开源技术性,可做为付钱解决方案(Premium和MSSP多租户)完全免费出示。
尽管SIEMonster应用自身的“monster”专业术语来取名系统软件中不一样的SIEM功能(比如Kraken),但最底层部件是大家都知道的开源技术性。ELK Stack用以收集(Filebeat和Logstash),解决,储存和数据可视化所收集的安全性数据信息。RabbitMQ用以序列。SearchGuard用以在Elasticsearch和ElastAlert以上开展数据加密和身份认证以开展报警。
从功能的视角看来,SIEMonster包括了大家期待得到的全部好产品,每一种都能够根据主菜单浏览 - 用以检索和数据可视化的Kibana UI,用以威胁情报的UI,用以建立和管理方法根据事情的通告的报警。别的集成化的开源专用工具是DRADIS,OpenAudit和FIR。
SIEMonster能够应用Docker器皿布署在云上,这代表着跨系统软件更非常容易移殖,但还可以在VM和原装机(Mac,Ubuntu,CentOS和Debian)上移殖。文本文档比较丰富,但缺乏线上版本。
6.Prelude
与OSSIM相近,Prelude是一个统一各种各样别的开源专用工具的SIEM架构。和OSSIM一样,它也是同名的商业服务专用工具的开源版本。Prelude致力于弥补像OSSEC和Snort那样的专用工具被忽视的人物角色。
Prelude接纳来源于好几个来源于的日志和事件,并应用入侵防御系统信息互换文件格式(IDMEF)将他们所有储存在单独部位。它出示过虑,关系,报警,剖析和数据可视化功能。
与OSSIM一样,与全部这种功能的商业服务商品对比,Prelude的开源版本很受到限制,这可能是为何它并不是十分时兴的缘故。引入官方网文本文档:“Prelude OSS致力于在十分小的自然环境中开展评定,科学研究和检测。一定要注意,Prelude OSS的主要表现远小于Prelude SIEM版本。“
小结:
详细的SIEM解决方案包含从各种各样数据库收集信息内容,长期保存信息内容,在不一样事情中间关系,建立关联规则或报警,分析数据并应用数据可视化和汽车仪表板监管数据信息的工作能力。
回应许多这种规定,ELK Stack被文中中列举的很多开源SIEM系统软件应用并不是偶然。OSSEC Wazuh,SIEMonster,Metron,都是有ELK。可是ELK本身欠缺一些重要的SIEM部件,比如关联规则和事件管理方法。
依据之上剖析,简易的结果是,“一个一体化的开源SIEM解决方案”并沒有确立的大赢家。在执行根据所述解决方案的SIEM系统软件时,就功能来讲或是与别的开源专用工具紧密结合,你很可能会察觉自己受限制。
用以SIEM的开源专用工具功能多种多样且功能强劲。可是,她们必须很多的专业技能,最重要的是要恰当布署。正由于这般,商业服务商品依然在SIEM行业占有主导性,即便开源专用工具是这种商业服务商品的关键。
给你解决80%的SIEM解决方案要比自身进行全部工作中好些。商业服务解决方案可解决安裝,基础配备,并且为最普遍的应用状况出示过滤装置,关系配备和数据可视化设计方案。不必小看这种商业服务功能的使用价值:在现如今的大数据中心中有总数看上去无尽丰厚的事情,并且大家都没有时间手动式配备应用软件来监管他们。
转自:
中国移动通信日志规范化管理与审计系统功能及技术标准_v1.0.0
运用SIEM技术性来鉴别未受权的浏览
双赢安全性互联网大数据 SIEM助公司精确鉴别威协
认知下一代安全性 公司SOC安管服务平台如何选
一目了然 把握主动权 SIEM型号选择简述