Доступны платные и бесплатные системы защиты информации и управления событиями (SIEM), и в этой статье мы рассмотрим 10 лучших решений SIEM с открытым исходным кодом, которые вы можете начать использовать уже сегодня.
Допустим, у вас есть различные системы, которые вы хотите отслеживать.
Если вы используете решение SIEM, вы можете отправлять все журналы этих систем в вашу среду SIEM, позволяя вам отслеживать события, которые произошли в контролируемых системах.
Потоки данных, которые вы можете отправлять в решения SIEM, бесконечны, и в этой статье мы обсуждаем продукты SIEM с открытым исходным кодом, и это означает, что для каждого перечисленного решения SIEM вы можете написать свой собственный код и добавить его.
Тут ваши возможности безграничны.
Список в случайном порядке. Вы сами решаете, какой из них лучше подойдет для вас.
10 лучших решений SIEM с открытым исходным кодом, которые мы обсудим:
- OSSIM
- Prelude
- ELK
- Snort
- OSSEC
- Apache Metron
- SIEMonster
- Nagios
- Zabbix
- Security Onion
OSSIM
AlienVault имеет версию своих решений Unified Security Management с открытым исходным кодом, эта версия называется OSSIM.
Платформа OSSIM позволяет вам, например, сопоставлять данные и хранить журналы.
Еще одним интересным фактом является то, что AlienVault также активно участвует в поиске вредоносных программ, у них есть общедоступная среда, называемая OTX, и в этой среде исследователи в области безопасности могут обмениваться показателями друг с другом.
- Nagios SNMP-мониторинг хостов Linux на AlienVault USM / OSSIM
- Как установить и настроить AlienVault SIEM (OSSIM)
- Как выполнить сканирование безопасности и мониторинг конфигурации AWS
Prelude
Prelude – это универсальная система управления информацией и событиями безопасности (SIEM).
Согласно веб-сайту, Prelude способен собирать, нормализовать, сортировать, агрегировать и корректировать данные.
Кроме того, заявлено, что Prelude работает без агента.
Это означает, что вам не нужно устанавливать агент в системе, которую вы хотите отслеживать.
Prelude предоставляет встроенную поддержку благодаря ряду систем, предназначенных для дальнейшего обогащения информации (snort, samhain, ossec, auditd и т. д.).
Prelude также поддерживает следующее стороннее программное обеспечение:
ELK stack
Да, настало время для стека ELK, стек ELK представляет собой комбинацию нескольких решений
Этими решениями являются Elasticsearch, Logstash и Kibana (ELK).
Эти 3 решения были наложены друг на друга, и это делает решение красивым.
ElasticSearch – это поисковая система с открытым исходным кодом, распространяемая на основе REStful JSON.
ЕЕ легко настроить и использовать.
Сообщество ElasticSearch также очень активно.
Для того, чтобы что-то делать с данными, они используют Logstash, это отличный конвейер загрузки.
На вершине пирога в этой схеме Кибана.
Kibana – это инструмент для визуализации, который очень прост в установке и использовании.
Этот инструмент позволяет визуализировать несколько типов потоков данных, делая его прекрасным SIEM, если он используется и настроен правильно.
- Как установить Elasticsearch 6.x на Fedora 29 / Fedora 28
- Как настроить Elasticsearch на Ubuntu 18.04 и 16.04 LTS
- Лучшие инструменты для сетевого обнаружения вторжений
- IDS/IPS дистрибутив на основе Suricata : SELKS
- Suricata IDS с ELK и веб-интерфейсом на Ubuntu 18.04 LTS
- Анализ логов Linux
SNORT
Система предотвращения вторжений SNORT выполняет анализ трафика в режиме реального времени, регистрацию пакетов в IP-сетях, а также анализ протокола и сопоставление содержимого.
SNORT – это мощная система анализа, которая может использоваться в качестве решения SIEM.
SNORT может обнаруживать атаки, такие как:
- Переполнение буфера
- Скрытое сканирование портов
- CGI-атаки
- SMB зонды
- OS атаки по снятию фингерпринтов
- Snorter — простая установка Snort
- Как установить и использовать Snort в Ubuntu
- Snort NFQ / Afpacket modes
- Snort Killed OOM
- Snort 2.9.7 Формирование правил
- SNORT fails to start — fatal error
- Лучшие инструменты для сетевого обнаружения вторжений
OSSEC
OSSEC – это система с открытым исходным кодом и бесплатная для использования система обнаружения вторжений.
OSSEC содержит множество функций, которые можно настраивать и менять, а также позволяет создавать собственные правила оповещения или скрипты, которые могут срабатывать при возникновении событий.
Сообщество OSSEC огромно, и есть много доступной документации.
В том числе и у нас 🙂
Как установить агент OSSEC на Mac OS
Использование Ubuntu в качестве основной ОС, часть 4 (аудит, антивирус и мониторинг)
Как установить Bro на Ubuntu 16.04 Часть 1
Apache Metron
Apache Metron – это масштабируемая платформа для расширенной аналитики безопасности.
Apache Metron предоставляет организациям возможность обнаруживать кибер-аномалии и позволяет организациям быстро реагировать на выявленные аномалии.
Большая часть продукта, это решение с открытым исходным кодом, и вы можете найти его на Github.
Nagios, Zabbix и SIEMonster
Nagios – это еще одна система мониторинга, которую вы можете использовать в качестве SIEM, она с открытым исходным кодом и вы можете добавлять свои собственные плагины.
То же самое касается Zabbix.
SIEMonster построен на компонентах с открытым исходным кодом, но большая часть этого проекта заключается в том, что все элементы ориентированы на сообщество.
- ?️ Установка и настройка Nagios 4 на RHEL / CentOS 8
- Как отслеживать хосты с помощью Nagios NRPE на Debian 9
- Nagios Ubuntu установка
- Инструменты контроля и мониторинга серверов в Linux
Security Onion
Мы закончим этот список бесплатной версией Security Onion, основанной на Linux.
Дистрибутив включает в себя широкий спектр инструментов, включая стек ELK, Snort, Suicata, Bro, OSSEC, Sguil и Squert.
Полный список для скачивания
Мы перечислили все упомянутые решения SIEM.
Вы можете использовать этот список, чтобы быстро перейти на официальные сайты SIEM с открытым исходным кодом.