Еластичен преглед на SIEM и алтернативи
Еластичен SIEM има много здрави основи, предоставени от продуктите Elastic Stack. Elastic NV е особено добре известен със своите продукти за управление на лог файлове. Тъй като регистрационните съобщения са един от ключовите източници на методологията на SIEM, Elastic SIEM има добри шансове да бъде един от лидерите в областта. Управлението на регистрационните файлове обаче е само една част от пълната стратегия на SIEM.
Как работи SIEM?
SIEMозначаваСъбития за сигурност и управление на информация. Това е комбинация от две предишни техники за наблюдение на сигурността: SIM и SEM. SIM е Управление на информацията за сигурност и проверява записите на лог файла. Това е базирана на хост система за откриване на проникване (HIDS). SEM е Управление на събития за сигурност и се занимава с данни в реално време. Това е мрежова система за откриване на проникване (NIDS).
Мрежовите системи за наблюдение на сигурността имат предимството на скоростта, защото работят в реално време. Тази стратегия обаче има слабости, тъй като хакерите могат да се промъкнат в системата без откриване, като комбинират поредица от действия, за да направят всяка злонамерена дейност да изглежда като легитимни индивидуални транзакции.
Системите за сигурност, базирани на хост, са в състояние да обединяват различни формати на регистрационни съобщения, за да събират данни от много точки в системата и да търсят признаци на атака. Проблемът със SIM картата е, че не е моментална. Отнема време, за да се натрупа достатъчно информация, която да се включи в анализа.
SIEM системите не са проектирани да блокират влизането в мрежата – това е работата на защитната стена. Целта на SIEM е да хване нарушители, които са успели да се промъкнат през защитата на периметъра на мрежата. Чрез комбиниране на SIM и SEM, SIEM може да насочва разследванията на мрежовия трафик към конкретни потребители и крайни точки, които са идентифицирани от SIM. Така че SIEM дава по-точни предупреждения от стандартен монитор за мрежова сигурност.
Относно Elastic NV
Elastic NV първоначално се нарича Elasticsearch BV. Компанията е основана от разработчици, които създадоха Elasticsearch, който беше хит.
След като създаде компания за управление на софтуера Elasticsearch, екипът продължи развитието, създавайки още продукти, а именно Kibana, Beats и Logstash. Всеки от тези пакети може да работи като самостоятелен инструмент, но те също се вписват заедно в пакет, наречен Elastic Stack.
- Logstash е лог сървър и консолидатор
- Еластично търсене е инструмент за търсене, който е идеален за анализиране на лог файлове
- Битове е агент за трансфер на данни със специализиран вариант за регистрационни данни
- Кибана е инструмент за преглед и анализ на данни, използван като преден край за Elastic Stack и способен да приема данни от други инструменти за събиране на данни
Logstash, Beats и Kibana са с отворен код и са безплатни за използване. Само Elasticsearch има такса. Всяка единица в Elastic Stack може да се използва в комбинация с други инструменти, произведени от трети страни. Безплатните инструменти се препоръчват широко от производителите на други безплатни инструменти за анализ на данни и системи за откриване на проникване. Кибана се използва особено широко.
Пакетът Elastic Stack е безплатен за използване като локален софтуер с по-високо платени планове, които включват професионална поддръжка. Системата Elastic SIEM е добавка към Kibana. Всички продукти на Elastic NV се предлагат като облачно базирани SaaS решения, за които няма безплатна версия. Има обаче a наличен безплатен пробен период .
Преглед на Elastic SIEM
Elastic Stack е SEM система, тъй като комбинацията от всички тези инструменти създава система за събиране, консолидиране, търсене и анализ на съобщения в журнала. И така, всичко, което Elastic NV трябваше да направи, за да създаде пълна SIEM система, беше предварително да напише търсения на данни за проблеми със сигурността. След това добави мрежов монитор на живо, който може да подава данни в реално време в системата за обработка на файлове Logstash и Elasticsearch.
Новият елемент за наблюдение на мрежата е допълнителна възможност, добавена към Kibana. Системата Kibana предоставя инструменти за представяне на данни за всеки източник на данни. Неговото съоръжение за наблюдение на мрежата на живо използва стандарта за отчитане на трафика на Cisco Systems, NetFlow като свой източник.
Друга нова услуга в колекцията Elastic е Elastic Agent, която действа като защита на крайната точка и също се предлага на пазара под името Elastic Security. Все още е в процес на бета тестване и се предлага безплатно. Elastic планира да пусне платена версия, след като усъвършенства софтуера. Този инструмент подава данни за активността на крайната точка в Kibana като друг източник на информация за решението SIEM.
Еластични SIEM функции
Elastic SIEM е гъвкав, защото позволява на потребителя да реши кои източници на информация да се използват като входни данни в системата за наблюдение на откриване на активност. Самият инструмент е просто интерпретатор на данни и не е от голяма полза без активирани източници на данни.
Разузнаване на заплахите
Най-важното изискване на SIEM, което Elastic NV не предоставя, е разузнаването на заплахите. Това се доставя от трета страна под формата на MITER ATT&CK® Matrix. Elastic също предоставя правила за откриване безплатно. Те обаче не се актуализират автоматично и не се конкурират напълно с усъвършенствания изследователски отдел, който захранва веригата от атаки и актуализации за разузнаване на заплахи към конкурентни SIEM системи.
Мониторинг на потребителите
Elastic SIEM внедрява анализ на поведението на потребителите и обектите (UEBA). Това се превърна в стандартен елемент на SIEM система. Той проследява нормалното поведение на всеки потребител или потребителска група и съответно коригира нивата на предупреждение. Този процес използва базирани на изкуствен интелект техники за машинно обучение и помага за намаляване на фалшиво положителното отчитане. Преди въвеждането на UEBA SIEM системите бяха склонни да бъдат свръхчувствителни и маркираха редица легитимни дейности като подозрителни.
Надзор на правата на достъп
Elastic SIEM идентифицира регистрационни съобщения от системи за управление на правата за достъп, като Active Directory, за да открие опити на хакери да проникнат чрез техники, които включват атаки с груба сила.
Събирането на данни за събития от цялата система позволява на мрежовия мениджър да забележи модели на активност, които показват, че хакерите се опитват да намерят лесен път към мрежата.
Откриване на аномалия
Правилата за разузнаване на заплахи, предоставени от Elastic NV, задействат предупреждения, които привличат вниманието на мрежовия обслужващ персонал към SIEM конзолата за допълнителна информация. Функциите за анализ поддържат усилия за ръчно търсене на заплахи.
Еластични опции за конфигурация на SIEM
Elastic SIEM и Elastic security са нови продукти и се предлагат безплатно като част от функционалността на Kibana. Услугата SIEM изисква внедряването на целия Elastic Stack. Elastic Stack се предлага безплатно за локална инсталация и включва Elastic SIEM. Платените планове предлагат същата функционалност, но включват достъп до професионален екип за поддръжка.
Локалната версия на Elastic Stack и Elastic SIEM се инсталира на EHEL, CentOS, SLES, OpenSuSE, Debian и Ubuntu Linux. Той също така ще се инсталира на macOS и Windows. Има четири плана за софтуера и основният пакет е безплатно за използване .
Elastic SIEM и Elastic Stack също се предлагат като услуга, базирана на облак. Има четири нива на план за тази SaaS версия на Elastic Stack, която се нарича Elastic Cloud, и нито едно от тях не е безплатно. Въпреки това е възможно да получите a 14-дневен безплатен пробен период на услугата.
Еластично SIEM табло
Elastic SIEM е внедрен като допълнителни екрани за Kibana. Таблото за управление на SIEM включва екран за общ преглед, мрежов екран и подробни изгледи, които показват разговори и дейности по източник или дестинация на връзки.
Екранът Общ преглед показва информация за събитието в табличен формат.
Всяко събитие в общия преглед представлява подозрително събитие и редът, представящ събитието, може да бъде разширен за повече подробности. Екранът за преглед показва също карта на мрежата и графики на дейността на хоста.
Подробните екрани заедно с менюто се фокусират върху една част от ИТ инфраструктурата, като производителност на хост или мрежова активност.
Всеки запис в подробен екран, като например екрана Хостове, показан по-долу, може да бъде разширен, за да разкрие допълнителни подробности.
Смекчаване на атаката
Възможностите за реакция при инцидент на Elastic SIEM са слабо място на системата. Elastic SIEM е все още нов и въпреки че рекламното предложение за софтуера обяснява, че Elastic Agent може да се използва за отговори на атаки, то не уточнява как. Отговорът при инцидент е ръчен работен процес с Elastic SIEM
Отчитане на съответствието
Elastic SIEM е подходящ за фирми, които се нуждаят от инструменти за управление на данни, които отговарят на определени стандарти за сигурност. Те включват CSA STAR и HIPAA. Услугата Elastic SIEM не е напълно интегрирана със SOX или PCI-DSS съвместимост.
Алтернативи на Elastic SIEM
Elastic SIEM е нов инструмент и обещава да се развие в много полезна услуга за сигурност на системата. Той обаче не е напълно разработен и му липсват някои от важните функции, които конкурентните SIEM системи включват.
Сред функциите, които липсват на Elastic SIEM, са актуалните данни за разузнаване на заплахи. Дългогодишните оператори на киберсигурност имат експерти, работещи в изследователски лаборатории и предлагащи човешки анализ и услуги за тестване за проникване. Опитът на тези специалисти обикновено се включва в други SIM услуги. Elastic NV няма опит в киберсигурността. Това е производител на инструменти за наблюдение и управление на системата, който реши да се насочи към киберсигурността.
Това, в което Elastic Stack е добър, е анализът на лог файлове. Това го прави чудесен принос за много висококачествена SIM карта. Функциите за наблюдение на мрежата, добавени към Kibana, използвайки живи данни от NetFlow, правят Kibana чудесен инструмент за наблюдение на мрежата. Изискванията за пълна SEM система за включване на постоянни актуализации на векторите на атака обаче липсват в решението Elastic, което го прави слаб конкурент на пазара на SIEM.
Има редица напълно разработени SIEM системи, които биха предложили на всяка компания по-добро решение за сигурност от зараждащата се Elastic SIEM. След няколко години Elastic SIEM може да се е развил и може да си струва още един поглед.
По-подробна информация за SIEM и основните доставчици на този пазар е достъпна в ръководството Най-добрите SIEM инструменти . Ако вместо това искате да възложите работата на външни изпълнители и вместо това да наемете екип от SIEM експерти, вижте нашия Най-добре управляваните SIEM услуги пост.
Ето десетте най-добри алтернативи на Elastic SIEM:
- SolarWinds Security Event Manager (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ) SIEM инструмент от водещ световен производител на системи за мониторинг и управление на инфраструктурата. Софтуерът се инсталира на Windows Server и включва реакция на инцидент в реално време и предварително конфигурирани процеси за съответствие със стандартите и формати за докладване. Започнете 30-дневния безплатен пробен период.
- ManageEngine EventLog Analyzer (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ) Решението ManageEngine SIEM е разделено на два модула: EventLog Analyzer за SIM функции иLog360за SEM услуги. Инсталира се на Windows и Linux. Достъп до 30-дневния безплатен пробен период.
- Мониторинг на сигурността на Datadog Система за мониторинг на инфраструктура, която се хоства в облака. Функциите за сигурност в пакета SaaS включват SIEM-базиран модул за наблюдение на сигурността.
- McAfee Enterprise Security Manager SIEM инструмент от една от най-старите марки за киберсигурност в света. Този софтуер е подкрепен от векторни емисии на заплахи за изследователска лаборатория и включва силни функции за управление на права, базирани на данни от Active Directory. Инсталира се на Windows и macOS.
- Fortinet FortiSIEM Добре планирана платформа от стратегии за откриване, съчетана с подаване на векторни данни за атака от специализирана изследователска лаборатория. Това е система, базирана на облак, която включва и агенти на локални устройства.
- Rapid7 InsightIDR Базирана в облака SIEM услуга за киберсигурност, която внедрява агентски софтуер на всяко устройство в наблюдаваната система. Той включва индикатори за компрометирани канали за изследователска лаборатория и автоматизирано намаляване на заплахите.
- OSSEC Безплатен IDS с отворен код със специален фокус върху анализа на регистрационни файлове. Често използван с Kibana като преден край, този софтуер се инсталира на Windows, macOS, Linux и Unix.
- LogRhythm NextGen SIEM платформа Реализация на мрежов трафик и анализ на съобщения в журнал. Инсталира се на Windows и Linux.
- AT&T Cybersecurity AlienVault Unified Security Management Тази система за киберзащита включва набор от стратегии за откриване, които включват SIEM техники плюс други методи. Работи на Windows и macOS.
ЧЗВ за Elastic SIEM
Кога беше пуснат Elastic SIEM?
Elastic SIEM стартира през юни 2019 г. като безплатна услуга.
Elastic Stack SIEM ли е?
Сам по себе си Elastic Stack не е SIEM. Този набор от безплатни инструменти може да се използва за събиране и търсене в лог файлове и добавянето към пакета Elastic SIEM ви дава набор от думи за търсене, които преобразуват системата за търсене на данни в пълен SIEM.
Колко струва Elastic SIEM?
Elastic SIEM се предлага само като част от Elastic Cloud, хостван пакет. Услугата се предлага в четири плана и всички те включват Elastic SIEM. Те са Стандартен за $16 на месец, злато за $19 на месец, Платина за $22 на месец и Предприятие за $30 на месец.