为了保护IT环境免受网络攻击并遵守严格的合规标准,安全信息和事件管理(SIEM)系统正在成为越来越多企业实施的安全范例的基石。
有专门的平台提供一体化SIEM解决方案,如LogRhythm,QRadar和ArcSight。这些解决方案当然价格昂贵,特别是在长期和大型企业中,因此越来越多的企业正在寻找开源SIEM平台。
但是,是否有一个包含所有基本SIEM元素的开源平台?
简单回答是“没有”。没有所有功能于一身的完美的开源SIEM系统。现有的解决方案要么缺乏核心SIEM功能,如事件关联和报告,要么需要与其他工具结合使用。然而,有一些不错的开源选择。
1.OSSIM
AlienVault的统一安全管理(USM)产品的开源版本OSSIM可能是更受欢迎的开源SIEM平台之一。OSSIM包括关键的SIEM组件,即事件收集,处理和规范化,最重要的是事件关联。
OSSIM将本地日志存储和关联功能与众多开源项目结合在一起,以构建完整的SIEM。OSSIM中包含的开源项目列表包括FProbe,Munin,Nagios,NFSen / NFDump,OpenVAS,OSSEC,PRADS,Snort,Suricata和TCPTrack。
OpenVAS的引入特别引起用户的兴趣,因为OpenVAS通过将IDS日志与漏洞扫描结果关联起来用于漏洞评估。
正如用户所期望的那样,开源OSSIM不像其商业“老大哥”那样功能丰富。这两种解决方案都适用于小型部署,但OSSIM用户在规模上遇到重大性能问题,最终将他们推向商用产品。例如,OSSIM的开源版本中的日志管理功能几乎不存在。
2.ELK Stack
ELK Stack或Elastic Stack如今正在重新命名,可以说是目前在SIEM系统中用作构建块的最受欢迎的开源工具。模块化的完整的SIEM系统?不,因为ELK Stack是否符合“一体化”SIEM系统的资格有很大的争议空间。
ELK Stack由开源产品Elasticsearch,Logstash,Kibana和Beats系列日志传送组成。
Logstash是一个日志聚合器,可以收集和处理来自几乎任何数据源的数据。它可以过滤,处理,关联并且通常增强它收集的任何日志数据。Elasticsearch是存储引擎,是其时间序列数据存储和索引领域的最佳解决方案之一。 Kibana是堆栈中的可视化层,它是一个非常强大的可视化层。Beats包括各种轻量级日志传送,负责收集数据并通过Logstash将其发送到堆栈。
Logstash使用各种输入插件来收集日志。但是,它也可以接受更多专用解决方案(如OSSEC或Snort)的输入。结合起来,ELK Stack的日志处理,存储和可视化功能在功能上是无与伦比的。然而,对于SIEM而言,ELK Stack至少在其原始开源格式中缺少一些关键组件。
首先,没有内置的报告或警报功能。这是一个已知的痛点,不仅对于尝试将堆栈用于安全性的用户而且对于更常见的用例来说也是如此——例如IT操作。警报可以通过使用X-Pack(Elastic的商业产品)或通过添加开源安全附件来添加。
也没有可以使用的内置安全规则。这使得堆栈在处理资源和运营成本方面成本更高。
3.OSSEC
OSSEC是一种流行的开源主机入侵检测系统(HIDS),可与各种操作系统(包括Linux,Windows,MacOS,Solaris以及OpenBSD和FreeBSD)协同工作。
OSSEC本身分为两个主要组件:负责收集来自不同数据源的日志数据的管理器(或服务器),以及负责收集和处理日志并使其更易于分析的应用程序。
OSSEC直接监视主机上的多个参数。这包括日志文件,文件完整性,rootkit检测和Windows注册表监视。OSSEC可以从其他网络服务(包括大多数流行的开源FTP,邮件,DNS,数据库,Web,防火墙和基于网络的IDS解决方案)执行日志分析。OSSEC还可以分析来自许多商业网络服务和安全解决方案的日志。
OSSEC有许多警报选项,可以用作自动入侵检测或主动响应解决方案的一部分。OSSEC有一个原始的日志存储引擎。默认情况下,来自主机代理的日志消息不会保留。分析完成后,OSSEC将删除这些日志,除非OSSEC管理器文件中包含<logall>选项。如果启用此选项,OSSEC将来自代理的传入日志存储在每日轮换的文本文件中。
4.Apache Metron
从架构的角度来看,Metron依靠其他Apache项目来收集,传输和处理安全数据。 Apache Nifi和Metron探针从安全数据源收集数据,然后将这些数据推送到单独的Apache Kafka中。事件随后被解析并归一化为标准的JSON,然后被强化并在某些情况下被标记。如果确定某些事件类型,则可以触发警报。为了可视化,使用Kibana(尽管是过时的版本)
对于存储,事件被索引并保存在Apache Hadoop中,并且基于企业的首选项在Elasticsearch或Solr中保存。在这些数据的基础上,Metron提供了一个界面,用于集中分析数据,并提供警报摘要和丰富的数据。
Metron在某些方面仍然缺乏。Metron只能安装在有限数量的操作系统和环境中,尽管它通过Ansible支持自动化场景并通过Docker安装(仅限Mac和Windows)。UI有点不成熟,并且不支持身份验证。
5.SIEMonster
SIEMonster是另一位年轻的SIEM玩家,但也是非常受欢迎的一员,短短两年内下载量超过10万次。SIEMonster基于开源技术,可作为付费解决方案(Premium和MSSP多租户)免费提供。
虽然SIEMonster使用自己的“monster”术语来命名系统中不同的SIEM功能(例如Kraken),但底层组件是众所周知的开源技术。ELK Stack用于收集(Filebeat和Logstash),处理,存储和可视化所收集的安全数据。RabbitMQ用于队列。SearchGuard用于在Elasticsearch和ElastAlert之上进行加密和身份验证以进行警报。
从功能的角度来看,SIEMonster包含了我们希望获得的所有好东西,每一种都可以通过主菜单访问 - 用于搜索和可视化数据的Kibana UI,用于威胁情报的UI,用于创建和管理基于事件的通知的警报。其他集成的开源工具是DRADIS,OpenAudit和FIR。
SIEMonster可以使用Docker容器部署在云上,这意味着跨系统更容易移植,但也可以在VM和裸机(Mac,Ubuntu,CentOS和Debian)上移植。文档非常丰富,但缺少在线版本。
6.Prelude
与OSSIM类似,Prelude是一个统一各种其他开源工具的SIEM框架。和OSSIM一样,它也是同名商业工具的开源版本。Prelude旨在填补像OSSEC和Snort这样的工具被忽略的角色。
Prelude接受来自多个来源的日志和事件,并使用入侵检测消息交换格式(IDMEF)将它们全部存储在单个位置。它提供过滤,关联,警报,分析和可视化功能。
与OSSIM一样,与所有这些功能的商业产品相比,Prelude的开源版本很受限,这可能是为什么它不是非常流行的原因。引用官方文档:“Prelude OSS旨在在非常小的环境中进行评估,研究和测试。请注意,Prelude OSS的表现远低于Prelude SIEM版本。“
总结:
完整的SIEM解决方案包括从各种数据源收集信息,长时间保留信息,在不同事件之间关联,创建关联规则或警报,分析数据并使用可视化和仪表板监控数据的能力。
回答很多这些要求,ELK Stack被本文中列出的许多开源SIEM系统使用并非巧合。OSSEC Wazuh,SIEMonster,Metron,都有ELK。但是ELK自身缺乏一些关键的SIEM组件,例如关联规则和事件管理。
根据以上分析,简单的结论是,“一个一体化的开源SIEM解决方案”并没有明确的赢家。在实施基于上述解决方案的SIEM系统时,就功能而言或者与其他开源工具相结合,你很可能会发现自己受到限制。
用于SIEM的开源工具功能多样且功能强大。但是,他们需要大量的专业知识,最重要的是要正确部署。正因为如此,商业产品仍然在SIEM领域占据主导地位,即使开源工具是这些商业产品的核心。
为你处理80%的SIEM解决方案要比自己完成所有工作要好。商业解决方案可处理安装,基本配置,并为最常见的使用情况提供过滤器,关联配置和可视化设计。不要低估这些商业功能的价值:在当今的数据中心中有数量看起来无限可观的事件,而且我们都没有时间手动配置应用程序来监控它们。