web-dev-qa-db-ja.com

セキュリティイベントを関連付けるためにどのようなテクニックとツールを使用していますか?

中央ロギングが行われ、詳細なアプリロギング/アラート(例:modsec)、ネットワークベースのセキュリティアラート(例:snort)、およびその他の監視デッキへのフィードがあります。

セキュリティイベントを関連付ける方法について、共有したい素晴らしいテクニックはありますか?

ツールはどうですか? (社内でも結構です。その内容を説明してください)

networkidsloggingsiem
16
Tate Hansen

関連するセキュリティとログイベントを関連付けるエンタープライズツールは、一般にセキュリティ情報とイベント管理(SIEM)システムと呼ばれます。ほとんどは、一般的なログ形式、IDSアラート、ウイルス対策、ファイアウォールルールの変更などからのデータを受け入れるように設計されています。

  • LogRhythm
    http://www.logrhythm.com
    世界中の多くの企業で使用されています。

  • IBM QRadar
    http://www-03.ibm.com/software/products/en/qradar-siem

  • Cisco MARS
    http://www.Cisco.com/c/en/us/products/security/security-monitoring-analysis-response-system/index.html

  • Intel McAfee NitroSecurity
    http://www.McAfee.com/

  • ArcSight(HPで購入)
    http://www.arcsight.com/
    非常に高価です。セットアップするのは野獣、使用するのは野獣ですが、相関エンジンは本当に印象的です。数年前に私がそれを使用したとき、それは多段階攻撃(すなわち、ホストaのトロイの木馬)を相関させることができ、ホストbが外部IPに到達できるようにし、ホストbファイアウォールルールがIDS cで見られるsnort攻撃を許可することも知っています。発生する。
    アークサイトエクスプレスを見て(そして私のベンダーに価格を尋ねて)、小規模なショップ(500ホスト未満)にはぴったりかもしれませんが、アラートを解釈および分析できる人がバックアップする必要があります。

私が知っている他のツール:

  • OSSIM、オープンソースSIEM
    http://sourceforge.net/projects/os-sim/
    私のインターンの1人がこれをいじって、概して好意的な評価を得ています。プロジェクトや小さなお店の場合、これがおそらく最善の策です。

  • Intellitactics(現在はtrustwaveが所有)
    http://www.intellitactics.com/int/
    SEIMが最初に立ち上がったとき、彼らはもう1つの大きなプレーヤーでした。彼らは、テキストデータベースを使用しているという点でユニークでした(ArcSightなどのOracleとは異なり、残りの部分)。彼らはテキストデータベースの使用をやめて別の場所に移動するつもりだと聞きましたが、それ以来しばらくの間何も聞こえませんでした。

  • RSA enVision
    http://www.rsa.com/node.aspx?id=317
    これはがらくたの山と見なされ、defconのチームの新製品マネージャーと話し、ビジネスインテリジェンスツールと手法(列ストアデータベースなど)を使用して製品を再叩き出していました。私が言われたことは、このプロジェクトのためにEMC(RSAの親会社)がGreenplum(ZFSベースのBIシステム)を購入したということです。私はそれらを注意深く監視し、おそらくNDAの下にいて、実際のストーリーを取得します。

私はここで古い情報を使用していますが、正しいこととそうでないことを聞きたいと思います。

5
Reiger

上記のリンクには、実際に他のツールよりも突出しているいくつかのツールがリストされています。

  1. Novell Sentinel Log Manager 25は、グローバル200の企業から資金提供を受けていない場合、Splunkよりも優れているようです。
  2. Q1Labsは、SIEMの試用を検討している新興企業や企業でさえも飛躍したいと考えるミッドマーケットソリューションを提供することにより、AlienVault(OSSIM)と競争しようとしているようです
  3. log2timelineは、IDRの方法論や、私が見た商用/無料のツールには通常見られない優れた概念を実装しています。これにより、ログファイルの削除が原因である可能性のある時間のギャップを明確に特定できます(意図的かどうかにかかわらず)。

私はsnortよりもSuricataに部分的で、現在、既存の脆弱性管理システム(OpenVAS、Arachniなど)やアプリケーション監視システム(ModSecurity、AppSensorなど)は好きではありませんが、OSSECとともにこれらを実装する可能性が非常に高いです。 OSSIMは、IT/OpsおよびAppDevショップの現代的な制限を考慮しています。

BeltaneやCerebusなどの古いツールが今日のニーズに対応しているようにも見えません。新しい新しさは、Vagrant環境でOSSIMとOSSECの統合を採用することだと思います。

3
atdre

ここでは、Intellitacticsから Splunk に切り替えています。これは、この分野で有望な候補と思われます。 Splunkの素晴らしい点の1つは、その拡張性です。そのためのデータマイニングまたはレポートモジュールを書くのは非常に簡単です。もう1つは、組み込みの「正規表現ウィザード」で、選択したサンプルテキストに対応する正規表現を作成できます。

私は個人的に、マルチクラスの分類とクラスタリングのための機械学習技術を使用して、ログに記録されたデータの99%を構成する興味深いが重要ではないものを整理するために、「ほぼ開始」段階にあると思われるグランドプランを持っています。

0
user502