it-swarm-es.com

¿Qué técnicas y herramientas utiliza para relacionar eventos de seguridad?

Tiene un registro central en marcha, un registro/alerta detallado de la aplicación (por ejemplo, modsec), alertas de seguridad basadas en la red (por ejemplo, snort) y cualquier otra cosa que alimente su plataforma de observación.

¿Tiene alguna técnica interesante que le gustaría compartir sobre cómo relaciona los eventos de seguridad?

¿Qué hay de las herramientas? (interno está bien, solo describe lo que hace)

16
Tate Hansen

Las herramientas empresariales que correlacionan la seguridad relacionada con los eventos de registros generalmente se denominan sistemas de gestión de eventos e información de seguridad (SIEM). La mayoría están diseñados para aceptar datos de formatos de registro comunes, alertas IDS, antivirus, cambios en las reglas de firewall, etc.

Otras herramientas que conozco:

  • OSSIM, el SIEM de código abierto
    http://sourceforge.net/projects/os-sim/
    Uno de mis pasantes ha jugado con esto, con críticas generalmente favorables. Para un proyecto o una tienda pequeña, esta es probablemente su mejor opción.

  • Intellitactics (actualmente propiedad de Trustwave)
    http://www.intellitactics.com/int/
    Fueron otro gran jugador cuando SEIM comenzó por primera vez, eran únicos en el sentido de que usaban una base de datos de texto (a diferencia de Oracle como ArcSight y el resto). Escuché que iban a dejar de usar una base de datos de texto y pasar a otra cosa, pero nunca escuché nada de eso en mucho tiempo.

  • RSA enVision
    http://www.rsa.com/node.aspx?id=317
    Esto se consideró como un montón de basura, hablar con el nuevo gerente de producto del equipo de defcon, estaban volviendo a golpear el producto, utilizando herramientas y técnicas de inteligencia empresarial (bases de datos de tiendas de columnas, etc.). Lo que me dijeron fue que EMC (la empresa matriz de RSA) compró Greenplum (un sistema de BI basado en ZFS) para este proyecto. Los estaría observando de cerca, y tal vez obtendría un NDA y obtendría la historia real.

Estoy usando información anterior aquí, me encantaría escuchar lo que es correcto y lo que no.

5
Reiger

El enlace anterior enumera algunas herramientas que realmente se destacarán por encima de otras, como que

  1. Novell Sentinel Log Manager 25 parece ser mejor que Splunk si está comenzando y no está financiado por una empresa Global 200
  2. Q1Labs parece estar intentando competir con AlienVault (OSSIM) al proporcionar una solución de mercado medio a la que incluso las nuevas empresas y las empresas que estén considerando SIEM en prueba querrán saltar a
  3. log2timeline implementa un buen concepto que generalmente no se encuentra en las metodologías IDR o en cualquier herramienta comercial/gratuita que haya visto, ya que puede identificar específicamente brechas en el tiempo que podrían haberse debido a la eliminación del archivo de registro (intencional o no)

Soy parcial a Suricata over snort y actualmente no me gusta ninguno de los sistemas de gestión de vulnerabilidades existentes (por ejemplo, OpenVAS, Arachni) o sistemas de monitoreo de aplicaciones (por ejemplo, ModSecurity, AppSensor); sin embargo, es muy probable que los implemente junto con OSSEC a través de OSSIM dadas las limitaciones modernas de las tiendas de IT/Ops y AppDev.

Tampoco parece que las herramientas de la vieja escuela como Beltane o Cerebus se hayan mantenido a la altura de las necesidades actuales. Supongo que la nueva frescura sería adoptar la integración para OSSIM y OSSEC en un entorno Vagrant.

3
atdre

Aquí, estamos cambiando de Intellitactics a Splunk , que parece ser el competidor prometedor en el área. Una de las cosas buenas de Splunk es su extensibilidad; es bastante fácil escribir módulos de generación de informes o minería de datos para él. Otro es el "asistente de expresiones regulares" incorporado que le permite crear una expresión regular que corresponda al texto de ejemplo seleccionado.

Personalmente, tengo grandes planes que parecen estar perpetuamente en la fase "casi comenzada" para utilizar técnicas de aprendizaje automático para la clasificación y agrupamiento multiclase para organizar las cosas interesantes pero no críticas que comprenden el 99% de los datos registrados.

0
user502