¿Qué técnicas y herramientas utiliza para relacionar los eventos de seguridad?

16

El registro central está en marcha, el registro / alerta detallado de la aplicación (por ejemplo, modsec), las alertas de seguridad basadas en la red (por ejemplo, snort) y cualquier otra cosa que alimente su plataforma de observación.

¿Tiene alguna técnica interesante que le gustaría compartir sobre cómo relacionar los eventos de seguridad?

¿Qué hay de las herramientas? (en casa está bien, solo describe lo que hace)

    
pregunta Tate Hansen 15.12.2010 - 07:52
fuente

3 respuestas

5

Las herramientas empresariales que correlacionan los eventos de seguridad y registros relacionados generalmente se denominan sistemas de Información de seguridad y Gestión de eventos (SIEM). La mayoría están diseñados para aceptar datos de formatos de registro comunes, alertas de IDS, antivirus, cambios en las reglas de firewall, etc.

  • LogRhythm
    enlace
    Utilizado por muchas empresas de todo el mundo.

  • IBM QRadar
    enlace

  • Cisco MARS
    enlace

  • Intel McAfee NitroSecurity
    enlace

  • ArcSight (comprado por HP)
    enlace
    Muy caro. Es una bestia de configurar, una bestia de usar, pero el motor de correlación es realmente impresionante. Hace unos años, cuando lo usé, fue capaz de correlacionar los ataques de varias etapas (es decir, un troyano en el host a, permite que el host b sea accesible a una IP externa, y también saber que la regla del firewall del host b permite el ataque de snort visto en IDS c a ocurrir.
    Mirando arcsight express (y preguntando el precio a mi proveedor), puede ser una buena opción para tiendas más pequeñas (menos de 500 anfitriones) pero necesita ser respaldado por personas capaces de interpretar y analizar alertas.

Otras herramientas que conozco:

  • OSSIM, el SIEM de código abierto
    enlace
    Uno de mis internos ha jugado con esto, con críticas generalmente favorables. Para un proyecto, o una pequeña tienda, esta es probablemente su mejor apuesta.

  • Intellitactics (actualmente propiedad de trustwave)
    enlace
    Eran otro jugador importante cuando SEIM comenzó, eran únicos en el sentido de que estaban usando una base de datos de texto (a diferencia de Oracle como ArcSight y el resto). Escuché que iban a dejar de usar un db de texto y pasar a otra cosa, pero nunca escuché nada de eso en mucho tiempo.

  • RSA enVision
    enlace
    Esto fue considerado como un montón de basura, hablando con el nuevo gerente de producto del equipo en defcon, estaban relanzando el producto, usando herramientas y técnicas de inteligencia de negocios (bases de datos de tiendas de columnas, etc.). Lo que me dijeron fue que EMC (la empresa matriz de RSA) compró Greenplum (un sistema de BI basado en ZFS) para este proyecto. Los estaría observando de cerca, y tal vez obtendría un NDA y obtendría la verdadera historia.

Estoy usando información más antigua aquí, me encantaría escuchar qué es correcto y qué no.

    
respondido por el Reiger 16.12.2010 - 06:41
fuente
3

El enlace anterior enumera algunas herramientas que realmente sobresaldrán por encima de otras, como por ejemplo

  1. Novell Sentinel Log Manager 25 parece ser mejor que Splunk si está comenzando y no está financiado por una compañía Global 200
  2. Q1Labs parece estar intentando competir con AlienVault (OSSIM) al proporcionar una solución de mercado medio que incluso las nuevas empresas y empresas que consideren SIEM en prueba querrán saltar a
  3. log2timeline implementa un buen concepto que generalmente no se encuentra en las metodologías IDR ni en ninguna herramienta comercial / gratuita que he visto, ya que puede señalar específicamente los vacíos en el tiempo que podrían deberse a la eliminación del archivo de registro (intencionado o no)

Soy parcial a Suricata sobre snort y actualmente no me gusta ninguno de los sistemas de administración de vulnerabilidades existentes (por ejemplo, OpenVAS, Arachni) o los sistemas de monitoreo de aplicaciones (por ejemplo, ModSecurity, AppSensor); sin embargo, es muy probable que los aplique a lo largo con OSSEC a través de OSSIM dadas las limitaciones modernas de las tiendas IT / Ops y AppDev.

Tampoco parece que las herramientas de la vieja escuela como Beltane o Cerebus hayan cumplido con las necesidades actuales. Supongo que la nueva actualización sería adoptar la integración para OSSIM y OSSEC en un entorno Vagrant.

    
respondido por el atdre 28.03.2011 - 08:33
fuente
0

Aquí, estamos cambiando de Intellitactics a Splunk , que parece ser el contendiente prometedor en la zona. Una de las cosas buenas de Splunk es su extensibilidad; Es bastante fácil escribir módulos de generación de datos o informes para ello. Otro es el "asistente de expresiones regulares" que le permite crear una expresión regular que corresponda al texto de ejemplo seleccionado.

Personalmente tengo grandes planes que parecen estar perpetuamente en la fase "casi iniciada" para usar técnicas de aprendizaje automático para la clasificación multiclas y la agrupación en clústeres para organizar las cosas interesantes pero no críticas que comprenden el 99% de los datos registrados.

    
respondido por el user502 16.12.2010 - 16:04
fuente

Lea otras preguntas en las etiquetas