Soluções: Elastic SIEM - para a segurança casa e de negócios (a)

Others 2020-03-18 20:18:28 views: null

Muitas pessoas podem ser SIEM palavra muito estranha. É a palavra Inglês S egurança da I nformação e E sigla ventilação Management. O que significa que os meios de informação de segurança e gerenciamento de eventos. No artigo de hoje, vamos nos concentrar em Elastic SIEM. Elastic SIEM usar de velocidade, escala e relevância para promover a utilização segura da sua pesquisa e ameaças. Desde Elastic Stack 7,2 versão, Elastic começou a oferecer soluções de SIEM.

Com ataques de rede e violações de dados aumentar, nos disseram para manter os dados confidenciais seguros. No entanto, a segurança da rede e proativa igualmente importante. Sobre os nossos sistemas de informação está acontecendo nos ajudará a determinar como melhorar a segurança da informação. É por isso que a análise de segurança é muito importante.

Para pequenas e médias empresas, segurança de redes precisa orçamentos, pessoal adequado e instrumentos adequados para proteger a rede de ataque e defesa. Essas ferramentas incluem eventos (SIEM) solução para dispositivos de análise de log em seu ambiente e informações de segurança. Mas para as pequenas empresas e as famílias, o acesso à análise segura e eficaz pode ter um monte de tempo ou dinheiro. 

Elastic SIEM é uma espécie de tempo e recursos limitados para as pequenas empresas e famílias para fornecer análise de segurança e funções de monitorização de uma boa maneira. Isso é ótimo para grandes empresas, mas para esta série blog, vamos continuar a se concentrar em uma implementação menor.

SIEM Perfil

O que é SIEM?

Informações de segurança e gerenciamento de eventos (SIEM) é uma solução de software que pode agregar e analisar toda a infra-estrutura de TI em muitas das atividades dos diferentes recursos. SIEM coletar dados de segurança a partir de um dispositivo de rede, um servidor, um controlador de domínio. SIEM este armazenamento de dados, padronização, consolidação e análise de aplicações para detectar tendências, detectar ameaças e organizações para investigar qualquer alarme. processo de implementação SIEM pode ser descrito como se segue:

SIEM como ele funciona?

SIEM fornece duas funções principais para a Equipe de Resposta a Incidentes:

  • incidentes relacionados à segurança foram relatados e as provas
  • Com base na análise das regras set jogo de alarme específicos, isso mostra que há problemas de segurança

SIEM é o núcleo de agregação de dados, pesquisa e sistemas de comunicação. SIEM coletar grandes quantidades de dados de todo o ambiente de rede, fusão e torná-lo facilmente acessível. Com classificação e layout de dados ponta dos dedos, você pode precisar de estudar as vulnerabilidades de segurança de dados.

informações de segurança e gerenciamento de eventos

Gartner identificou três funções-chave de SIEM (detecção de ameaças, investigação e tempo de resposta) - muitas vezes você vai ver outras funções no mercado de SIEM, incluindo:

  • monitoramento de segurança básica
  • detecção avançada contra ameaças
  • Forense e resposta a incidentes
  • Coleção log
  • A normalização de dados
  • Notificações e alertas
  • detecção de eventos de segurança
  • Threat Response fluxo de trabalho

 

Por Elastic Stack adequado para SIEM?

características ElasticSearch

ElasticSearch é componentes do núcleo elástico. Nós primeiro olhar para ElasticSearch apresenta:

Elastic Stack sua velocidade, escala e Relevância e muitos outros produtos para distinguir:

1) Velocidade (velocidade): ElasticSearch o rosto de grandes quantidades de dados podem fornecer busca de velocidade milissegundo. Isto permite ElasticSearch a velocidade de seus funcionários de segurança mais eficientes, mais eficazes, e, finalmente, permitir-lhes responder às ameaças detectadas antes que eles causem danos.

  • Use painéis interativos para monitorar seu ambiente.
  • Para encontrar ameaças através rápida sucessão de consultas ad hoc.
  • Livre extrair os dados básicos e uma vista em perspectiva.

2) Escala (escala). Elasticseach agrupa fácil expansão. O rosto de dados cada vez maiores, ElasticSearch pode adicionar mais nós do cluster para armazenar mais dados. Alguns dos requisitos para a segurança dos dados, a necessidade de manter, pelo menos, seis meses de dados. ElasticSearch pode facilmente atender a essas necessidades, e mesmo no caso do aumento de dados, ElasticSearch velocidade de pesquisa afetado, mas também para alcançar a busca de velocidade milissegundo. Com o nível de Elastic escalabilidade, equipe de análise em larga escala pode explorar um monte de dados da máquina de forma temporária. É aberta a integração suportado pela API com outros sistemas e aplicações, e seu formato de arquivo não proprietário para evitar bloqueio.

Se você está envolvido em trabalho de segurança, então eu não tenho que lhe dizer que a escalabilidade é um grande desafio outras tecnologias. Se você é 15 anos para usar o Cisco Mars, há 10 anos, usando ArcSight ou em qualquer momento desta década, o uso de ferramentas proprietárias, são verdadeiras.

Se você estiver usando uma tecnologia ultrapassada, considere as seguintes questões:

  • Devido a limitações ou restrições de licença técnica, quanto tempo você tem que ser descartada, uma vez que os dados?
  • Você pode manter por quanto tempo (sete dias)? 15 dias? Talvez 30 dias?

Elastic amplamente os dados coletados, os dados conservados por um longo período de tempo, e mais rápido pesquisar.

3) Relevância: Elastic automática aprendizagem de máquina anormal e ameaças conhecidas por detectar automaticamente a correlação, enquanto a sua pesquisa e visualização poderosa vigilância capacidades ameaça e investigação.

Elasticseach pode facilmente ingerir dados de qualquer lugar

Qualquer sistema SIEM, aquisição de dados é uma parte muito importante. Nós já falamos sobre, ElasticSearch fornece uma API aberta e pode ser facilmente aplicada a outros sistemas de encaixe, e os dados integrados. Ele não tem um formato de arquivo proprietário. Para Elasticseach, o atual e fornece as seguintes três maneiras para fazer a interface dos dados:

Como mostrado acima, nós podemos:

  1. Batidas : Podemos importar dados através das batidas na ElasticSearch
  2. Logstash : Podemos Logstash importação de dados. fontes de dados Logstash também pode ser batidas
  3. API REST: Nós podemos importar os dados através de uma API rica Elastic fornecido para ElasticSearch no. Nós podemos completar a nossa importação de dados através de Java, Python, Go, NodeJS outra API ElasticSearch.

Por isso, é para os bate, bate e como trabalhar com outra Elastic Stack dele? Podemos olhar para o diagrama a seguir:

Nós podemos ver acima, bate dados podem ser importados para os seguintes três maneiras em ElasticSearch:

  • Batidas ==> ElasticSearch
  • Bate ==> Logstash ==> ElasticSearch
  • Bate ==> Kafka ==> Logstash ==> ElasticSearch

Como mostrado acima que:

  • Nós podemos passar diretamente dados para ElasticSearch em Beats, mesmo agora, em muitos casos, este é um tipo mais popular de programa. Ele pode até mesmo combinar gasoduto ElasticSearch fornecido completo com uma combinação mais poderosa.
  • Nós podemos processar o fluxo de dados usando a combinação de filtro poderoso Logstash fornecidos: resolução, rico, converter, eliminar add, e assim por diante. Você pode se referir ao meu artigo anterior, " a conversão de dados, análise, extração, rico e operações centrais ."
  • Para alguns casos, se temos a incerteza do fluxo de dados, por exemplo, possível produzir grandes quantidades de dados de cada vez, resultando em Logstash não no tempo, podemos fazer um cache por Kafka. Você pode se referir ao meu artigo " Uso Kafka implantação Stack Elastic ".

Com batidas de Pré-construído, pode rapidamente a partir do ponto final, dispositivos de rede, aplicações - realmente gosto de qualquer fonte para extrair dados. E, se você não vê a integração, em colaboração com a comunidade Elastic para encontrar ou construir. Estes são todos de código aberto, e é do nosso lado favor.

 

arquitetura Elastic SIEM

SIEM pode analisar incidentes de segurança relacionados acolhimento e relacionadas à rede, como parte das pesquisas de alerta ameaça ou pesquisa interativa.

Núcleo Elastic SIEM SIEM é uma nova aplicação, que é um espaço de trabalho interativo, a equipe de segurança pode classificar o incidente e uma investigação preliminar. Timeline Event Viewer permite aos seus analistas a evidência coletar e armazenar do ataque de dentro Kibana, fixa e notas relacionadas com eventos, e os resultados foram comentários e compartilhou, assim você pode lidar facilmente com qualquer formato de dados segue o ECS.

Kibana tem sido uma equipe de segurança para visualizar, pesquisar e filtrar a sua segurança de dados um ótimo lugar. aplicação elástica SIEM usa todos os aspectos da equipe de segurança Kibana favorito (interatividade, pesquisa e temporário para baixo broca responsivo) e empacotá-lo como experiência com o produto intuitivo, pode trabalhar com um SOC típico (Security Operations Center) processo consistente.

aplicações SIEM em Kibana fornece um espaço de trabalho interativo para as equipes de segurança para classificar o incidente e uma investigação preliminar. Além disso, a aprendizagem de máquina detecção de anomalias operação e regra de detecção motor fornece um método para detectar automaticamente toda a frota de servidor e estação de trabalho de atividade suspeita.

componentes SIEM

Elastic Stack SIEM requer os seguintes componentes:

Elastic Endpoint Security é fornecer prevenção, plataforma de segurança endpoint e detecção do agente e as capacidades de resposta. It eventos e alertas de segurança entregues diretamente para ElasticSearch.

Batidas é aberto como um transportador de dados de proxy montado no sistema. Batidas envio de eventos de segurança e outros dados para ElasticSearch.

ElasticSearch é um tempo real distribuídos armazenamento, busca e mecanismo de análise. ElasticSearch índice bom de fluxo de dados de semi-estruturado, tais como o log ou métricas.

Kibana se destina ao uso com uma análise de código aberto ElasticSearch e plataforma de visualização. Você pode usar a pesquisa Kibana, visualizar e interagir com os dados armazenados no índice ElasticSearch. Você pode facilmente realizar a análise de dados avançada e visualização de dados em uma variedade de gráficos, tabelas e mapas.

aplicações SIEM em Kibana fornece uma interface de usuário dedicada para análise e investigação de incidentes de segurança de host e de rede.

 

Os componentes adicionais elásticas

Você pode usar o Elastic junto a outros produtos SIEM e recursos para ajudá-lo a identificar e investigar a atividade suspeita:

Fontes de dados

SIEM pode extrair e analisar dados de várias fontes, incluindo Elastic Endpoint Security, batidas e batidas módulo, a transação APM e mapeado para uma definição comum de dados Elastic ( ECS ) de aquisição de dados de terceiros.

Fonte de Dados do Host

Fonte de dados de rede

Tipos de dados

A partir do host acima e fonte de dados de rede, SIEM ajuda-me extrair os seguintes quatro tipos de tipos de dados:

1) evento Audit : quadro de auditoria Use Auditbeat Linux com dados coletar, monitorar o sistema e a integridade dos detalhes do arquivo. Transportado para ElasticSearch para análise em aplicações de SIEM.

2) Authentication Log : Usando dados de autenticação e pesquisa Auditbeat Filebeat módulo do sistema de coleta de login tentativas e atividades relacionadas.

3) o tráfego DNS : dados Com Packetbeat DNS coletadas para ver o que está acontecendo na rede: padrões de acesso do usuário, atividades de campo, as tendências de consulta.

. 4) o Netflow : através da análise do fluxo de dados (amplo campo visual e pelo módulo de análise recolhe Filebeat NetFlow) para estabelecer o ambiente.

Fornecer vista geral

A coleta de dados é uma coisa. Unified verificar a sua capacidade é outra. Meios Elastic Comum do esquema (ECS ), você pode se concentrar a informação análise de todo o ambiente, tais como logs, e fluxo de dados contextual, não importa como a dispersão da fonte de dados. Em Kibana ter um aplicativo dedicado, chamado de SIEM, os profissionais de segurança pode permitir que uma investigação maneira mais simplificada e classificação de acolhimento comum e fluxos de trabalho de segurança de rede.

Ops e ameaça estão à procura de trabalho em equipe

aplicação elástica SIEM é um espaço de trabalho interativo, a equipe de segurança pode classificar o incidente e realizar uma investigação preliminar. ameaças de monitoramento, evidências de coleta sobre a linha do tempo, fixos e comentários eventos relacionados, e encaminha o potencial de emissão de bilhetes e eventos SOAR plataforma.

 

clientes Elastic SIEM

Ao longo dos últimos anos, Elastic Stack tornou-se a primeira escolha para os profissionais de segurança podem proteger seus sistemas e dados de ameaças da Internet. Bell Canada e Slack usando análise de segurança Elastic Stack. Cisco Talos vai ElasticSearch como uma ameaça ao seu processo de núcleo de pesquisa. Ten aliança acadêmica criado pela partilha de operações de segurança de rede do centro OmniSOC e Oak Ridge National Laboratory selecione a pilha flexível como a solução núcleo SIEM. E vimos como RockNSM, HELK como projetos de código aberto em torno de formação Elastic pilha para operadores de segurança apoio.

resumo

Na apresentação de hoje, apresentamos alguns conceitos básicos e Elastic SIEM SIEM é. Então, depois do meu artigo, vamos descrever como mãos-implantar SIEM. Por favor, leia as " Soluções: Elastic SIEM - para casa e de negócios de segurança (b) ." Obrigado!

 

referência:

【1】https://www.varonis.com/blog/what-is-siem/

【2】https://www.elastic.co/guide/en/siem/guide/current/siem-overview.html

Elastic comunidade chinesa blog oficial blog de negócios
Publicado 512 artigos originais · Louvor obteve 124 · vista 900 000 +
他的留言板 关注

Acho que você gosta

Origin blog.csdn.net/UbuntuTouch/article/details/104837035
Recomendado
Clasificación
Diario
Más
2024-05-28(0)
2024-05-27(0)
2024-05-26(0)
2024-05-25(0)
2024-05-24(11)
2024-05-23(35)
2024-05-22(9)
2024-05-21(34)
2024-05-20(5)
2024-05-19(0)

Code World

© 2018 codetd.com