企业安全建设之搭建开源SIEM平台(上)
前言
SIEM(security information and event management),顾名思义就是针对安全信息和事件的管理系统,针对大多数企业是不便宜的安全系统,本文结合作者的经验介绍下如何使用开源软件搭建企业的SIEM系统,数据深度分析在下篇。
SIEM的发展
对比Gartner2009年和2016年的全球SIEM厂商排名,可以清楚看出,基于大数据架构的厂商Splunk迅速崛起,传统四强依托完整的安全产品线和成熟市场渠道,依然占据领导者象限,其他较小的厂商逐渐离开领导者象限。最重要的存储架构也由盘柜(可选)+商业数据库逐渐转变为可横向扩展的大数据架构,支持云环境也成为趋势。
开源SIEM领域,比较典型的就是ossim和Opensoc,ossim存储架构是mysql,支持多种日志格式,包括鼎鼎大名的Snort、Nmap、 Nessus以及Ntop等,对于数据规模不大的情况是个不错的选择,新版界面很酷炫。
完整的SIEM至少会包括以下功能:
- 漏洞管理
- 资产发现
- 入侵检测
- 行为分析
- 日志存储、检索
- 报警管理
- 酷炫报表
其中最核心的我认为是入侵检测、行为分析和日志存储检索,本文重点集中讨论支撑上面三个功能的技术架构。
Opensoc简介
Opensoc是思科2014年在BroCon大会上公布的开源项目,但是没有真正开源其源代码,只是发布了其技术框架。我们参考了Opensoc发布的架构,结合公司实际落地了一套方案。Opensoc完全基于开源的大数据框架kafka、storm、spark和es等,天生具有强大的横向扩展能力,本文重点讲解的也是基于Opensoc的siem搭建。
上图是Opensoc给出的框架,初次看非常费解,我们以数据存储与数据处理两个纬度来细化,以常见的linux服务器ssh登录日志搜集为例。
后记
如何在离线数据中,通过行为分析和攻击建模识别出深入的入侵行为呢?请看下篇。
来自:http://www.freebuf.com/special/127172.html
相关文章
- DevOps研发数字化体系建设实践-零束科技
- 4458 万、山东公安大数据智能化建设-政务云单一来源:济南超算
- 金融企业该如何进行灾备建设?
- 工业园区智慧水务物联网平台建设方案
- 数据平台智能化建设
- 【金猿人物展】Aloudata创始人周卫林:数字经济时代,企业数字化建设的新挑战和新目标
- 智慧产业园区建设破题,秘诀竟是“小程序化”?
- 2022年复杂美区块链入选市级企业高新技术研究开发中心建设名单
- 中小型金融企业该如何进行灾备建设?
- 如何建设数字化企业?数据、业务、技术缺一不可
- 《2022 企业数据安全能力建设现状研究报告》调研启动
- 观点 | 企业安全建设实践路程思考
- 视频安防综合管理系统在物流仓储安防建设中的重要性
- 台积电酝酿建设欧洲、日本工厂:就近为德系车、日系车供应芯片
- 企业数据库安全建设以Oracle为核心(oracle body)