為了保護IT環境免受網絡攻擊並遵守嚴格的合規標准,安全信息和事件管理(SIEM)系統正在成為越來越多企業實施的安全范例的基石。
有專門的平台提供一體化SIEM解決方案,如LogRhythm,QRadar和ArcSight。這些解決方案當然價格昂貴,特別是在長期和大型企業中,因此越來越多的企業正在尋找開源SIEM平台。
但是,是否有一個包含所有基本SIEM元素的開源平台?
簡單回答是“沒有”。沒有所有功能於一身的完美的開源SIEM系統。現有的解決方案要么缺乏核心SIEM功能,如事件關聯和報告,要么需要與其他工具結合使用。然而,有一些不錯的開源選擇。
1.OSSIM
AlienVault的統一安全管理(USM)產品的開源版本OSSIM可能是更受歡迎的開源SIEM平台之一。OSSIM包括關鍵的SIEM組件,即事件收集,處理和規范化,最重要的是事件關聯。
OSSIM將本地日志存儲和關聯功能與眾多開源項目結合在一起,以構建完整的SIEM。OSSIM中包含的開源項目列表包括FProbe,Munin,Nagios,NFSen / NFDump,OpenVAS,OSSEC,PRADS,Snort,Suricata和TCPTrack。
OpenVAS的引入特別引起用戶的興趣,因為OpenVAS通過將IDS日志與漏洞掃描結果關聯起來用於漏洞評估。
正如用戶所期望的那樣,開源OSSIM不像其商業“老大哥”那樣功能豐富。這兩種解決方案都適用於小型部署,但OSSIM用戶在規模上遇到重大性能問題,最終將他們推向商用產品。例如,OSSIM的開源版本中的日志管理功能幾乎不存在。
2.ELK Stack
ELK Stack或Elastic Stack如今正在重新命名,可以說是目前在SIEM系統中用作構建塊的最受歡迎的開源工具。模塊化的完整的SIEM系統?不,因為ELK Stack是否符合“一體化”SIEM系統的資格有很大的爭議空間。
ELK Stack由開源產品Elasticsearch,Logstash,Kibana和Beats系列日志傳送組成。
Logstash是一個日志聚合器,可以收集和處理來自幾乎任何數據源的數據。它可以過濾,處理,關聯並且通常增強它收集的任何日志數據。Elasticsearch是存儲引擎,是其時間序列數據存儲和索引領域的最佳解決方案之一。 Kibana是堆棧中的可視化層,它是一個非常強大的可視化層。Beats包括各種輕量級日志傳送,負責收集數據並通過Logstash將其發送到堆棧。
Logstash使用各種輸入插件來收集日志。但是,它也可以接受更多專用解決方案(如OSSEC或Snort)的輸入。結合起來,ELK Stack的日志處理,存儲和可視化功能在功能上是無與倫比的。然而,對於SIEM而言,ELK Stack至少在其原始開源格式中缺少一些關鍵組件。
首先,沒有內置的報告或警報功能。這是一個已知的痛點,不僅對於嘗試將堆棧用於安全性的用戶而且對於更常見的用例來說也是如此——例如IT操作。警報可以通過使用X-Pack(Elastic的商業產品)或通過添加開源安全附件來添加。
也沒有可以使用的內置安全規則。這使得堆棧在處理資源和運營成本方面成本更高。
3.OSSEC
OSSEC是一種流行的開源主機入侵檢測系統(HIDS),可與各種操作系統(包括Linux,Windows,MacOS,Solaris以及OpenBSD和FreeBSD)協同工作。
OSSEC本身分為兩個主要組件:負責收集來自不同數據源的日志數據的管理器(或服務器),以及負責收集和處理日志並使其更易於分析的應用程序。
OSSEC直接監視主機上的多個參數。這包括日志文件,文件完整性,rootkit檢測和Windows注冊表監視。OSSEC可以從其他網絡服務(包括大多數流行的開源FTP,郵件,DNS,數據庫,Web,防火牆和基於網絡的IDS解決方案)執行日志分析。OSSEC還可以分析來自許多商業網絡服務和安全解決方案的日志。
OSSEC有許多警報選項,可以用作自動入侵檢測或主動響應解決方案的一部分。OSSEC有一個原始的日志存儲引擎。默認情況下,來自主機代理的日志消息不會保留。分析完成后,OSSEC將刪除這些日志,除非OSSEC管理器文件中包含<logall>選項。如果啟用此選項,OSSEC將來自代理的傳入日志存儲在每日輪換的文本文件中。
4.Apache Metron
從架構的角度來看,Metron依靠其他Apache項目來收集,傳輸和處理安全數據。 Apache Nifi和Metron探針從安全數據源收集數據,然后將這些數據推送到單獨的Apache Kafka中。事件隨后被解析並歸一化為標准的JSON,然后被強化並在某些情況下被標記。如果確定某些事件類型,則可以觸發警報。為了可視化,使用Kibana(盡管是過時的版本)
對於存儲,事件被索引並保存在Apache Hadoop中,並且基於企業的首選項在Elasticsearch或Solr中保存。在這些數據的基礎上,Metron提供了一個界面,用於集中分析數據,並提供警報摘要和豐富的數據。
Metron在某些方面仍然缺乏。Metron只能安裝在有限數量的操作系統和環境中,盡管它通過Ansible支持自動化場景並通過Docker安裝(僅限Mac和Windows)。UI有點不成熟,並且不支持身份驗證。
5.SIEMonster
SIEMonster是另一位年輕的SIEM玩家,但也是非常受歡迎的一員,短短兩年內下載量超過10萬次。SIEMonster基於開源技術,可作為付費解決方案(Premium和MSSP多租戶)免費提供。
雖然SIEMonster使用自己的“monster”術語來命名系統中不同的SIEM功能(例如Kraken),但底層組件是眾所周知的開源技術。ELK Stack用於收集(Filebeat和Logstash),處理,存儲和可視化所收集的安全數據。RabbitMQ用於隊列。SearchGuard用於在Elasticsearch和ElastAlert之上進行加密和身份驗證以進行警報。
從功能的角度來看,SIEMonster包含了我們希望獲得的所有好東西,每一種都可以通過主菜單訪問 - 用於搜索和可視化數據的Kibana UI,用於威脅情報的UI,用於創建和管理基於事件的通知的警報。其他集成的開源工具是DRADIS,OpenAudit和FIR。
SIEMonster可以使用Docker容器部署在雲上,這意味着跨系統更容易移植,但也可以在VM和裸機(Mac,Ubuntu,CentOS和Debian)上移植。文檔非常豐富,但缺少在線版本。
6.Prelude
與OSSIM類似,Prelude是一個統一各種其他開源工具的SIEM框架。和OSSIM一樣,它也是同名商業工具的開源版本。Prelude旨在填補像OSSEC和Snort這樣的工具被忽略的角色。
Prelude接受來自多個來源的日志和事件,並使用入侵檢測消息交換格式(IDMEF)將它們全部存儲在單個位置。它提供過濾,關聯,警報,分析和可視化功能。
與OSSIM一樣,與所有這些功能的商業產品相比,Prelude的開源版本很受限,這可能是為什么它不是非常流行的原因。引用官方文檔:“Prelude OSS旨在在非常小的環境中進行評估,研究和測試。請注意,Prelude OSS的表現遠低於Prelude SIEM版本。“
總結:
完整的SIEM解決方案包括從各種數據源收集信息,長時間保留信息,在不同事件之間關聯,創建關聯規則或警報,分析數據並使用可視化和儀表板監控數據的能力。
回答很多這些要求,ELK Stack被本文中列出的許多開源SIEM系統使用並非巧合。OSSEC Wazuh,SIEMonster,Metron,都有ELK。但是ELK自身缺乏一些關鍵的SIEM組件,例如關聯規則和事件管理。
根據以上分析,簡單的結論是,“一個一體化的開源SIEM解決方案”並沒有明確的贏家。在實施基於上述解決方案的SIEM系統時,就功能而言或者與其他開源工具相結合,你很可能會發現自己受到限制。
用於SIEM的開源工具功能多樣且功能強大。但是,他們需要大量的專業知識,最重要的是要正確部署。正因為如此,商業產品仍然在SIEM領域占據主導地位,即使開源工具是這些商業產品的核心。
為你處理80%的SIEM解決方案要比自己完成所有工作要好。商業解決方案可處理安裝,基本配置,並為最常見的使用情況提供過濾器,關聯配置和可視化設計。不要低估這些商業功能的價值:在當今的數據中心中有數量看起來無限可觀的事件,而且我們都沒有時間手動配置應用程序來監控它們。