📜 4 решения для обработки журналов и анализа безопасности SIEM на основе стека ELK

Журналы, содержащие большое количество информации о различных событиях, происходящих в системе, лежат в основе почти каждого решения Security Analytics/=.

Но прежде чем это сырье можно будет использовать, оно должно быть очищено.

Журналы должны быть собраны, обработаны, нормализованы, расширены и сохранены.

Эти процессы обычно группируются под общим термином «управление логами» и необходимы для того, чтобы включить последующий этап «анализа журналов» – процесс запроса и визуализации данных.

Это может объяснить, почему ELK Stack (Elastic Search, Logstash, Kibana) – самая популярная в мире система управления журналами с открытым исходным кодом – все чаще используется в качестве решения SIEM (Security information and event management), как с открытым исходным кодом, так и с коммерческой , а традиционные инструменты SIEM, такие как AlienVault, QRadar и Splunk, предоставляют более полный набор возможностей, но медленный и постепенный переход к более простым и шустрым решениям, основанным на ELK, становится все более очевидным.

Обескуражены?

Мы тоже.

Вот почему мы решили собрать сравнение, чтобы попытаться понять, какую роль играет ELK в различных решениях Security Analytics, представленных на рынке.

Индивидуальное решение на базе ELK

Давайте начнем с самостоятельной ELK.

Многие пользователи уже используют стек в качестве решения SIEM, поскольку он обеспечивает надежное управление журналами и возможности анализа журналов.

Он поддерживает сбор журналов, обработку журналов, масштабируемое хранение, запросы и возможности визуализации.

Но достаточно ли этого?

Все остальные возможности, ожидаемые от правильного решения SIEM, такие как оповещение, корреляция, отчетность и управление инцидентами, отсутствуют.

Вот почему стек обычно используется вместе с другими платформами и сервисами, а не сам по себе.

Поэтому ванильный ELK не является готовым решением SIEM.

Однако, будучи проектом с полностью открытым исходным кодом, это, безусловно, прочная основа для построения более полноценной системы вместе с другими инструментами.

Logz.io

Это интересный и относительно новый вариант на рынке.

Logz.io предлагает аналитику безопасности, построенную на основе полностью управляемого решения ELK.

Таким образом, все возможности, описанные выше – сбор журналов, обработка журналов, масштабируемое хранилище, запросы и визуализация – предоставляются как сервис.

В дополнение к ванильному ELK, Logz.io добавил обнаружение угроз, корреляцию, оповещения и встроенные панели мониторинга.

Logz.io называет себя «унифицированным» решением, то есть команды могут использовать те же данные журнала, которые используются для мониторинга и устранения неполадок в производственных средах, а также для анализа безопасности.

Несмотря на то, что он построен поверх стека ELK с открытым исходным кодом, Logz.io сам по себе является коммерческим решением.

Возможности отчетности и управления инцидентами также отсутствуют по сравнению с другими решениями.

Elastic SIEM

Другой вариант – Elastic SIEM от Elastic, компании, которая стоит за стеком ELK.

Поскольку это только бета-версия, в решении по-прежнему отсутствуют основные функциональные возможности, ожидаемые от SIEM, но есть перспективы на будущее.

Подобно Logz.io, Elastic SIEM объединяет все существующие возможности управления и анализа журналов, предоставляемые ELK.

Кроме того, Elastic SIEM предлагает специальный пользовательский интерфейс для анализа событий.

Эти возможности предоставляются бесплатно, но под базовой лицензией Elastic, то есть они не являются полностью проектом с открытым исходным кодом.

Дополнительные функции, такие как оповещение, доступны по платной подписке.

На данный момент Elastic SIEM не предоставляет каких-либо расширенных возможностей обнаружения и корреляции угроз.

Определенно стоит следить за тем, как этот продукт будет развиваться в будущем.

Wazuh

ELK Stack обеспечивает бэкэнд логгирования для Wazuh – решения для мониторинга безопасности с открытым исходным кодом, используемого для сбора, анализа и сопоставления данных, с возможностью обеспечения обнаружения угроз, управления соответствием и возможностей реагирования на инциденты.

Он может быть развернут локально или в гибридных и облачных средах.

Разработанный для мониторинга и анализа безопасности, Wazuh предлагает более полный список возможностей и функций, связанных с безопасностью, таких как обнаружение вторжений и уязвимостей и реагирование на инциденты.

ELK развертывается вместе с Wazuh для хранения и анализа данных журнала.

Но следует иметь в виду, что от пользователей ожидается, что они будут управлять и поддерживать стек самостоятельно.

С другой стороны, Wazuh является полностью проектом с открытым исходным кодом (вы можете оплатить подписку за поддержку).

Подрезюмируем

ELK является чрезвычайно популярным средством управления анализом журналов, и его, вероятно, можно считать отраслевым стандартом де-факто для случаев оперативного использования.

Однако все больше и больше компаний также используют стек для анализа безопасности и в качестве системы SIEM.

Как объясняется во введении, поскольку логи являются основным источником данных, используемым для этих систем, такая практика имеет смысл с точки зрения архитектуры.

В стеке ELK отсутствуют многие возможности, которые предлагают традиционные системы SIEM, но рынок, похоже, постепенно догоняет такими решениями, как Logz.io, Elastic SIEM и Wazuh, которые предлагают дополнительные функции безопасности поверх стека.

SIEM и Security Analytics – одна из самых захватывающих категорий на широком рынке безопасности, и очень приятно видеть, как открытый исходный код начинает играть в этом большую роль.

Вот краткая сводная таблица сравнения опций SIEM на рынке ELK: