گزارش های حاوی مقدار زیادی از اطلاعات در مورد وقایع مختلف رخ داده در سیستم ، اساس تقریباً هر راه حل Security Security Analytics / = را تشکیل می دهد.
اما قبل از استفاده از این ماده اولیه ، باید پاک شود.
جمع آوری ، پردازش ، عادی سازی ، گسترش و ذخیره سازی.
این فرایندها معمولاً تحت اصطلاح کلی "مدیریت ورود به سیستم" گروه بندی می شوند و برای گنجاندن مرحله بعدی "تجزیه و تحلیل ورود به سیستم" – فرآیند جستجوی و تجسم داده ها ضروری است.
این ممکن است توضیح دهد که چرا ELK Stack (جستجوی الاستیک) ، Logstash ، Kibana) – محبوب ترین سیستم مدیریت مجله منبع باز جهان – به طور فزاینده ای به عنوان یک راه حل SIEM (اطلاعات امنیتی و مدیریت رویداد) استفاده می شود ، هم از منبع باز و هم برای تجارت و هم از ابزارهای سنتی SIEM. مانند AlienVault ، QRadar و Splunk ، بیش از نیمی را تأمین می کنید مجموعه ای از امکانات ، اما انتقال آهسته و تدریجی به راه حل های ساده تر و سریعتر مبتنی بر ELK ، آشکارتر و آشکارتر می شود.
دلسرد؟
ما نیز.
به همین دلیل تصمیم گرفتیم مقایسه ای را با هم جمع کنیم تا سعی کنیم درک کنیم. چه نقش ELK در راه حل های مختلف Security Analytics موجود در بازار دارد.
راه حل مبتنی بر ELK
بیایید با ELK مستقل شروع کنیم.
در حال حاضر بسیاری از کاربران از پشته به عنوان یک راه حل SIEM استفاده می کنند زیرا این قابلیت را برای مدیریت ورود به سیستم و قابلیت تجزیه و تحلیل ورود به سیستم فراهم می کند.
این پشتیبانی از جمع آوری ورود به سیستم ، پردازش ورود به سیستم ، ذخیره سازی مقیاس پذیر ، نمایش داده شد و قابلیت های تجسم را پشتیبانی می کند.
اما آیا این کافی است؟
تمام ویژگی های دیگر که انتظار می رود از یک راه حل صحیح SIEM ، مانند هشدار ، همبستگی ، گزارش و مدیریت حادثه ، مفقود شوند.
به همین دلیل است که پشته معمولاً به همراه سایر سیستم عامل ها و خدمات استفاده می شود ، و نه به تنهایی.
بنابراین ، وانیل ELK یک راه حل آماده SIEM نیست.
با این حال ، به عنوان یک پروژه کاملاً منبع باز ، مطمئناً یک پایه محکم برای ساختن یک سیستم کاملتر در کنار آن است ابزار ugimi.
Logz.io
این نوع جالب و نسبتا جدید در بازار است.
Logz.io تجزیه و تحلیل امنیتی را بر اساس یک راه حل کاملاً مدیریت شده ELK ارائه می دهد.
بنابراین ، تمام ویژگی های ذکر شده در بالا – جمع آوری سیاهههای مربوط ، پردازش سیاهههای مربوط ، ذخیره سازی مقیاس پذیر ، نمایش داده شد و تجسم – به عنوان یک سرویس ارائه می شود.
علاوه بر وانیل ELK ، Logz.io ردیابی تهدید ، همبستگی ، هشدارها و داشبورد داخلی را اضافه کرد.
Logz.io خود را یک راه حل "یکپارچه" می نامد ، یعنی تیم ها می توانند از همان اطلاعات log که برای نظارت و از بین بردن استفاده می شود استفاده کنند. نقص عملکرد در محیط های تولید و همچنین تجزیه و تحلیل خطر است.
با وجود این واقعیت است که آن را در بالای پشته ELK منبع باز ساخته شده است، Logz.io خود یک تصمیم تجاری است.
گزارش و قابلیت های مدیریت حوادث نیز در مقایسه با راه حل های دیگر از بین رفته است.
Elastic SIEM
گزینه دیگر Elastic SIEM از Elastic ، شرکت پشت پشته ELK است.
از آنجا که این تنها یک نسخه بتا است ، راه حل هنوز فاقد کارکردهای اساسی مورد انتظار SIEM است ، اما آینده ای برای آینده وجود دارد.
مانند Logz.io ، الاستیک SIEM تمام ویژگی های موجود را ترکیب می کند. مدیریت و تجزیه و تحلیل ورود به سیستم ارائه شده توسط ELK.
این ویژگی ها بصورت رایگان ارائه می شوند ، اما تحت مجوز پایه الاستیک ، یعنی آنها یک پروژه کاملاً منبع باز نیستند.
ویژگی های اضافی مانند هشدار در دسترس هستند اشتراک پرداخت شده است.
در حال حاضر ، الاستیک SIEM هیچ گونه قابلیت شناسایی و همبستگی تهدید پیشرفته ای را ارائه نمی دهد.
مطمئناً باید چگونگی تکامل این محصول در آینده را مورد توجه قرار دهیم.
Wazuh
ELK Stack یک پس زمینه ورود به سیستم برای Wazuh فراهم می کند ، یک راه حل نظارت بر امنیت منبع باز برای جمع آوری ، تجزیه و تحلیل و جمع آوری داده ها ، با توانایی ارائه تهدید ، مدیریت انطباق و قابلیت پاسخگویی به حوادث.
این دستگاه می تواند به صورت محلی یا در محیط های ترکیبی و ابری مستقر شود.
طراحی شده برای نظارت و تجزیه و تحلیل امنیتی ، Wazuh لیست جامع تری از ویژگی ها و کارکردهای امنیتی را ارائه می دهد مانند نفوذ و تشخیص آسیب پذیری و واکنش حادثه.
ELK برای ذخیره و تجزیه و تحلیل داده های ورود به سیستم Wazuh مستقر شده است.
اما این را بخاطر بسپار که کاربران انتظار می رود آنها پشته را به تنهایی مدیریت و حفظ خواهند کرد.
از طرف دیگر ، Wazuh یک پروژه کاملاً منبع باز است (شما می توانید هزینه اشتراک پشتیبانی را بپردازید).
خلاصه
ELK ابزاری بسیار مدیریتی برای تجزیه و تحلیل ورود به سیستم است. احتمالاً می توان آن را استاندارد صنعت de facto برای استفاده عملیاتی در نظر گرفت.
با این حال ، تعداد بیشتری شرکت نیز از پشته برای تجزیه و تحلیل امنیتی و به عنوان یک سیستم SIEM استفاده می کنند.
همانطور که در مقدمه توضیح داده شد ، از آنجا که سیاهه ها منبع اصلی داده مورد استفاده برای این سیستم ها هستند ، این عمل از نظر معماری معقول است.
بسیاری از امکانات در پشته ELK وجود ندارد. سیستم های سنتی SIEM ارائه می دهند ، اما به نظر می رسد که بازار بتدریج با راه حل هایی مانند Logz.io ، Elastic SIEM و Wazuh روبرو می شود که ویژگی های امنیتی اضافی را بر روی پشته ارائه می دهند.
SIEM و Security Analytics یکی هستند. از هیجان انگیزترین مقوله ها در بازار امنیت گسترده ، و بسیار خوب است بدانید که چطور منبع باز شروع به ایفای نقش بزرگ می کند.
در اینجا یک جدول خلاصه کوتاه با مقایسه گزینه های SIEM در بازار ELK وجود دارد:
| Characteristic | Vanilla ELK | Logz.io | الاستیک SIEM | Wazuh | ||||
|---|---|---|---|---|---|---|---|---|
| مجموعه سیاهههای مربوط | بله | بله | بله | بله | ||||
| پردازش ورود [19459054] | بله | بله | بله بله | بله | بله | |||
| ذخیره سازی | بله | بله | بله | بله | ||||
| درخواستها | بله | بله | بله 19659056] بله | |||||
| خیر | بله | نه | بله | |||||
|
تشخیص تهدید |
خیر | بله | خیر | بله | ||||
| کنترل پنل | بله | بله | بله | بله | هشدارها [19459054] نه | بله | بله | نه |
|
واکنش به این حادثه |
خیر | نه | نه | بله | ||||
| گزارش | نه | نه | نه | |||||
| ] [ | ||||||||
| ] [ | ||||||||
| بله | n / a | n / a | بله | |||||
| مجوز | منبع باز | Comerius | Comerius | منبع باز |
]