6大开源SIEM工具,安全信息和事件管理的“利器”

为了保护IT环境免受网络攻击并遵守严格的合规标准,安全信息和事件管理(SIEM)系统正在成为越来越多企业实施的安全范例的基石。

有专门的平台提供一体化SIEM解决方案,如LogRhythm,QRadar和ArcSight。这些解决方案当然价格昂贵,特别是在长期和大型企业中,因此越来越多的企业正在寻找开源SIEM平台。

但是,是否有一个包含所有基本SIEM元素的开源平台?

简单回答是“没有”。没有所有功能于一身的完美的开源SIEM系统。现有的解决方案要么缺乏核心SIEM功能,如事件关联和报告,要么需要与其他工具结合使用。然而,有一些不错的开源选择。

1.OSSIM

AlienVault的统一安全管理(USM)产品的开源版本OSSIM可能是更受欢迎的开源SIEM平台之一。OSSIM包括关键的SIEM组件,即事件收集,处理和规范化,最重要的是事件关联。

OSSIM将本地日志存储和关联功能与众多开源项目结合在一起,以构建完整的SIEM。OSSIM中包含的开源项目列表包括FProbe,Munin,Nagios,NFSen / NFDump,OpenVAS,OSSEC,PRADS,Snort,Suricata和TCPTrack。

OpenVAS的引入特别引起用户的兴趣,因为OpenVAS通过将IDS日志与漏洞扫描结果关联起来用于漏洞评估。

正如用户所期望的那样,开源OSSIM不像其商业“老大哥”那样功能丰富。这两种解决方案都适用于小型部署,但OSSIM用户在规模上遇到重大性能问题,最终将他们推向商用产品。例如,OSSIM的开源版本中的日志管理功能几乎不存在。

2.ELK Stack

ELK Stack或Elastic Stack如今正在重新命名,可以说是目前在SIEM系统中用作构建块的最受欢迎的开源工具。模块化的完整的SIEM系统?不,因为ELK Stack是否符合“一体化”SIEM系统的资格有很大的争议空间。

ELK Stack由开源产品Elasticsearch,Logstash,Kibana和Beats系列日志传送组成。

Logstash是一个日志聚合器,可以收集和处理来自几乎任何数据源的数据。它可以过滤,处理,关联并且通常增强它收集的任何日志数据。Elasticsearch是存储引擎,是其时间序列数据存储和索引领域的最佳解决方案之一。 Kibana是堆栈中的可视化层,它是一个非常强大的可视化层。Beats包括各种轻量级日志传送,负责收集数据并通过Logstash将其发送到堆栈。

Logstash使用各种输入插件来收集日志。但是,它也可以接受更多专用解决方案(如OSSEC或Snort)的输入。结合起来,ELK Stack的日志处理,存储和可视化功能在功能上是无与伦比的。然而,对于SIEM而言,ELK Stack至少在其原始开源格式中缺少一些关键组件。

首先,没有内置的报告或警报功能。这是一个已知的痛点,不仅对于尝试将堆栈用于安全性的用户而且对于更常见的用例来说也是如此——例如IT操作。警报可以通过使用X-Pack(Elastic的商业产品)或通过添加开源安全附件来添加。

也没有可以使用的内置安全规则。这使得堆栈在处理资源和运营成本方面成本更高。

3.OSSEC

OSSEC是一种流行的开源主机入侵检测系统(HIDS),可与各种操作系统(包括Linux,Windows,MacOS,Solaris以及OpenBSD和FreeBSD)协同工作。

OSSEC本身分为两个主要组件:负责收集来自不同数据源的日志数据的管理器(或服务器),以及负责收集和处理日志并使其更易于分析的应用程序。

OSSEC直接监视主机上的多个参数。这包括日志文件,文件完整性,rootkit检测和Windows注册表监视。OSSEC可以从其他网络服务(包括大多数流行的开源FTP,邮件,DNS,数据库,Web,防火墙和基于网络的IDS解决方案)执行日志分析。OSSEC还可以分析来自许多商业网络服务和安全解决方案的日志。

OSSEC有许多警报选项,可以用作自动入侵检测或主动响应解决方案的一部分。OSSEC有一个原始的日志存储引擎。默认情况下,来自主机代理的日志消息不会保留。分析完成后,OSSEC将删除这些日志,除非OSSEC管理器文件中包含<logall>选项。如果启用此选项,OSSEC将来自代理的传入日志存储在每日轮换的文本文件中。

4.Apache Metron

从架构的角度来看,Metron依靠其他Apache项目来收集,传输和处理安全数据。 Apache Nifi和Metron探针从安全数据源收集数据,然后将这些数据推送到单独的Apache Kafka中。事件随后被解析并归一化为标准的JSON,然后被强化并在某些情况下被标记。如果确定某些事件类型,则可以触发警报。为了可视化,使用Kibana(尽管是过时的版本)

对于存储,事件被索引并保存在Apache Hadoop中,并且基于企业的首选项在Elasticsearch或Solr中保存。在这些数据的基础上,Metron提供了一个界面,用于集中分析数据,并提供警报摘要和丰富的数据。

Metron在某些方面仍然缺乏。Metron只能安装在有限数量的操作系统和环境中,尽管它通过Ansible支持自动化场景并通过Docker安装(仅限Mac和Windows)。UI有点不成熟,并且不支持身份验证。

5.SIEMonster

SIEMonster是另一位年轻的SIEM玩家,但也是非常受欢迎的一员,短短两年内下载量超过10万次。SIEMonster基于开源技术,可作为付费解决方案(Premium和MSSP多租户)免费提供。

虽然SIEMonster使用自己的“monster”术语来命名系统中不同的SIEM功能(例如Kraken),但底层组件是众所周知的开源技术。ELK Stack用于收集(Filebeat和Logstash),处理,存储和可视化所收集的安全数据。RabbitMQ用于队列。SearchGuard用于在Elasticsearch和ElastAlert之上进行加密和身份验证以进行警报。

从功能的角度来看,SIEMonster包含了我们希望获得的所有好东西,每一种都可以通过主菜单访问 - 用于搜索和可视化数据的Kibana UI,用于威胁情报的UI,用于创建和管理基于事件的通知的警报。其他集成的开源工具是DRADIS,OpenAudit和FIR。

SIEMonster可以使用Docker容器部署在云上,这意味着跨系统更容易移植,但也可以在VM和裸机(Mac,Ubuntu,CentOS和Debian)上移植。文档非常丰富,但缺少在线版本。

6.Prelude

与OSSIM类似,Prelude是一个统一各种其他开源工具的SIEM框架。和OSSIM一样,它也是同名商业工具的开源版本。Prelude旨在填补像OSSEC和Snort这样的工具被忽略的角色。

Prelude接受来自多个来源的日志和事件,并使用入侵检测消息交换格式(IDMEF)将它们全部存储在单个位置。它提供过滤,关联,警报,分析和可视化功能。

与OSSIM一样,与所有这些功能的商业产品相比,Prelude的开源版本很受限,这可能是为什么它不是非常流行的原因。引用官方文档:“Prelude OSS旨在在非常小的环境中进行评估,研究和测试。请注意,Prelude OSS的表现远低于Prelude SIEM版本。“

总结:

完整的SIEM解决方案包括从各种数据源收集信息,长时间保留信息,在不同事件之间关联,创建关联规则或警报,分析数据并使用可视化和仪表板监控数据的能力。

回答很多这些要求,ELK Stack被本文中列出的许多开源SIEM系统使用并非巧合。OSSEC Wazuh,SIEMonster,Metron,都有ELK。但是ELK自身缺乏一些关键的SIEM组件,例如关联规则和事件管理。

根据以上分析,简单的结论是,“一个一体化的开源SIEM解决方案”并没有明确的赢家。在实施基于上述解决方案的SIEM系统时,就功能而言或者与其他开源工具相结合,你很可能会发现自己受到限制。

用于SIEM的开源工具功能多样且功能强大。但是,他们需要大量的专业知识,最重要的是要正确部署。正因为如此,商业产品仍然在SIEM领域占据主导地位,即使开源工具是这些商业产品的核心。

为你处理80%的SIEM解决方案要比自己完成所有工作要好。商业解决方案可处理安装,基本配置,并为最常见的使用情况提供过滤器,关联配置和可视化设计。不要低估这些商业功能的价值:在当今的数据中心中有数量看起来无限可观的事件,而且我们都没有时间手动配置应用程序来监控它们。

原文地址:https://www.cnblogs.com/wuchangsoft/p/11498501.html

时间: 2024-10-23 12:56:20

6大开源SIEM工具,安全信息和事件管理的“利器”的相关文章

Gartner:2017年SIEM(安全信息与事件管理)市场分析

2017年度的Gartner SIEM魔力象限在比往常推迟了4个月之后终于发布了.在Gartner眼中,SIEM已经是一个成熟市场.但这个市场依然十分活跃:客户需求在变化,市场格局也在变化,技术革新也在不断重塑SIEM自身.让我们先看矩阵: 对比一下2016年度的矩阵: 可以说,这是自2014年以来,变化最大的一次(可以参见我下面的历年分析文章).我将这些变化总结为5点: 1)领头羊之争日趋激烈,去年是IBM和Splunk各执牛耳,几年则是IBM QRadar略胜一筹,颇有当年Arcsight独

Gartner:2016年SIEM(安全信息与事件管理)市场分析

2016年8月10日,Gartner发布了2016年度的SIEM市场分析报告(MQ幻方图). Gartner认为,攻击检测与响应成为了驱动SIEM市场蓬勃发展的主导驱动力.同时,合规管理依然是另一个SIEM的重要驱动力.Gartner预计到2017年,至少60%的SIEM厂商集成安全分析和UEBA(用户与实体行为分析)功能到他们的产品中. 首先,我们一起来看看MQ矩阵: 对比一下2015年度的MQ矩阵: 可以看出: 1)SIEM三强又发生了变化.去年是McAfee(Intel Security)

Gartner:2015年SIEM(安全信息与事件管理)市场分析

2015年7月20日,Gartner发布了2015年度的SIEM市场分析报告(MQ). 对比2014年: 可以看出来,Splunk异军突起,已经超越了McAfee(Intel安全),综合评分也略微强于HP Arcsight.至此,SIEM的新三强产生,分别是IBM.Splunk和HP,McAfee屈居第四,而Logrhythm也是步步紧逼. 此外,Tiboco/LogLogic和Tenable退出了SIEM排名,Gartner的说法是他们不再将其产品定位为SIEM产品,尽管他们还是提供了一些跟S

年底盘点之十大开源安全工具

Facebook 等大型互联网公司推动的服务器与数据中心.大数据工具的开源化项目类似,当大型互联网公司们在超大规模基础设施运营方面面临的挑战超出技术厂商的能力时,这些巨头就选择反客为主,成为创新技术的推动者和提供者.同样的情况也在信息安全领域中发生着.不少大型互联网公司经常会将自己开发的顶级安全工具开源,推动整个互联网的安全发展. 事实上不仅Google.Facebook,包括Netflix甚至Etsy.com这样的电商网站也都贡献过精品开源安全工具. 下面就来为大家盘点下十大开源安全工具 一.

2017年最受欢迎的十大开源黑客工具

八 戒推荐一 [黑客]cracer入侵入门到精通视频教程 刚刚过去的2017年,对于大多数信息安全从业人员来说是无话可说的一年,充斥各种狗血的开脑洞的剧情,可以出问题的地方全部都出了问题,从MongoDB数据库.到WiFi安全协议.英特尔处理器漏洞.到NSA的超级武器包.僵尸摄像头.会挖矿的海盗湾.邻居胖子发明的想哭勒索病毒-万幸的是,下半场黑客实在扛不住加密货币的疯狂诱惑,忙着往恶意软件.网页.APP.固件,手机.路由器所有能放代码的地方植入矿机,转移了不少火力. 好了言归正传,以下是Dark

盘点互联网巨头奉献的十大开源安全工具[转]

摘自红黑联盟,原文链接:http://www.2cto.com/Article/201411/355461.html Facebook等大型互联网公司推动的服务器与数据中心.大数据工具的开源化项目类似,当大型互联网公司们在超大规模基础设施运营方面面临的挑战超出技术厂商的能力时,这些巨头就选择反客为主,成为创新技术的推动者和提供者.同样的情况也在信息安全领域中发生着.不少大型互联网公司经常会将自己开发的顶级安全工具开源,推动整个互联网的安全发展. 本月早些时候安全牛曾介绍过 Google开源的we

GitHub 上的十一款热门开源安全工具

作为开源开发领域的基石,"所有漏洞皆属浅表"已经成为一条著名的原则甚至是信条.作为广为人知的Linus定律,当讨论开源模式在安全方面的优势时,开放代码能够提高项目漏洞检测效率的理论也被IT专业人士们所普遍接受. 恶意软件分析.渗透测试.计算机取证--GitHub托管着一系列引人注目的安全工具.足以应对各类规模下计算环境的实际需求. GitHub上的十一款热门开源安全工具 作为开源开发领域的基石,"所有漏洞皆属浅表"已经成为一条著名的原则甚至是信条.作为广为人知的Li

GitHub上最热门的11款开源安全工具

恶意软件分析.渗透测试.计算机取证——GitHub托管着一系列引人注目的安全工具.足以应对各类规模下计算环境的实际需求.  作为开源开发领域的基石,“所有漏洞皆属浅表”已经成为一条着名的原则甚至是信条.作为广为人知的Linus定律,当讨论开源模式在安全方面的优势时,开放代码能够提高项目漏洞检测效率的理论也被IT专业人士们所普遍接受.  现在,随着GitHub等高人气代码共享站点的相继涌现,整个开源行业开始越来越多地帮助其它企业保护自己的代码与系统,并为其提供多种多样的安全工具与框架,旨在完成恶意

视频会议及流媒体十大开源项目

在视频会议领域,有许多可以值得参考的开源项目,这些开源项目有的是协议栈.有的是编码器或者是传输协议,由于视频会议系统是一个综合性的应用系统,里面包含功能较多,如能把这些开源项目选择性的加入我们的视频会议开发当中,我们的开发效率肯定会事半功倍,下面我们列举一下视频会议相关的十大开源项目,并对其重要性及优缺点做一个全面的评价与排名. 1. OpenH323项目        (★★★★★) 上榜理由:最著名的H.323开源协议栈,视频会议开发必备协议栈,强烈推荐 最著名的H.323开源协议栈,包含了