sistema SIEM, ¿cuáles son los beneficios?

Navega tus respuestas
15

Cada persona en la empresa tiene un nombre de usuario / contraseña único, y nadie debe iniciar sesión con su nombre de usuario / contraseña, excepto él.

Quiero un programa que inspeccione los registros que incluya una lista de todas las personas que vinieron a trabajar hoy, e inspeccione la lista de los usuarios registrados (desde el AD o donde sea que esté), para encontrar si hay alguien. en los registros registrados que no deberían estar allí (ya que no está en el primer registro). Si el programa encuentra ese tipo de inconsistencia, debe informar de inmediato a los responsables del sistema.

El manifiesto anterior es lo que mi jefe quiere, y cree que un sistema SIEM podría darnos esa capacidad. Ese es solo un ejemplo de referencias cruzadas de archivos de registro que él quiere que tengamos la capacidad de hacer.

Ahora mismo tenemos muchos sistemas (de muchas compañías), y cada uno está inspeccionando diferentes aspectos de la compañía (por ejemplo, un sistema que nos brinda informes de los servidores de archivos sobre qué y quién ha cambiado los archivos, cuántos archivos y cualquier anomalía que haya encontrado; un sistema que verifica la inserción del USB en las PC y así sucesivamente). Me gustaría encontrar un sistema al que pueda enviar todos los informes para poder generar un informe de referencias cruzadas.

Por lo que he entendido de las páginas de Wikipedia en SIEM ( SIM , SEM ), este sistema debería darnos esa capacidad .

Mi pregunta es, ya que tengo que seleccionar uno de los 86 SIEM diferentes Los sistemas que existen, y finalmente implementarlos en la organización, me gustaría que me asesorara sobre cuál es el sistema que se ajustaría a mis necesidades anteriores. También debería ser fácil trabajar tanto como sea posible, ya que al final del día alguien tendrá que trabajar con ese sistema y si no tiene una interfaz significativa e informes significativos, por ejemplo, no obtendría los resultados Quiero.

Además de lo anterior, me gustaría saber para qué componentes debo estar preparado (agente de cliente de computadora, agentes de servidor, etc.).

    
pregunta Hanan N. 12.12.2011 - 13:26
fuente

5 respuestas

6

Solo a partir de la información en su pregunta, reducir la lista de 86 no va a ser fácil, tuve un rápido repaso ya que conozco algunos de los nombres más importantes. Algunos puntos:

  • Las soluciones SIEM deberían todas ser capaces de ejecutar actividades de tipo de correlación de registro
  • La mayoría incluye el registro de inserción de dispositivos y las comprobaciones de tipo Tripwire (o pueden incorporarse a Tripwire o cualquier otro registro de SYSLOG)
  • La mayoría de ellos tienen interfaces de usuario razonables
  • La mayoría tiene interfaces de línea de comandos con scripts

Lo que debe hacer es hacer una lista de las cosas que quiere / necesita que tenga y seleccionar esos elementos. Si puede reducirlo a menos de diez años, tiene muchas más posibilidades de poder realizar pruebas de comparación.

    
respondido por el Rory Alsop 12.12.2011 - 16:18
fuente
5

Personalmente uso Splunk para esto mismo. Es gratis hasta 500 MB de registros analizados diariamente, y tiene una robusta funcionalidad de búsqueda / correlación / tablero. Además, puede ejecutar scripts de Python de forma nativa para que pueda generar sus propios datos a partir de fuentes personalizadas.

Por ejemplo, comparar una lista de quién se supone que está trabajando con la lista de usuarios registrados sería una búsqueda trivial. Con la versión de pago, incluso puede tener un inicio de sesión de administrador para que puedan ver los informes por sí mismos.

Splunk es simplemente muy poderoso y útil para mí. Redujo los 45 minutos de verificación manual de varios registros, informes, correos electrónicos, etc. a un correo electrónico generado automáticamente en formato pdf.

Compruébalo.

    
respondido por el schroeder 12.12.2011 - 20:57
fuente
3

+1 para sugerencia splunk de schroeder .

Tiene una curva de aprendizaje bastante exótica, con búsquedas básicas disponibles en literalmente minutos, luego me tomó un día entender cómo construir una búsqueda compleja. Dos días más para tener un conjunto de gráficos (líneas de base, desgloses, indicadores). Entonces me di cuenta de que tiene más sentido crear búsquedas guardadas y trabajar desde allí (puedes editarlas más fácilmente).

También sugeriría mirar los archivos de configuración (en particular, transforms.conf).

La cuota de 500 MB se puede evitar preparando los datos que se enviarán a Splunk. Sin embargo, la versión para empresas (de pago) agrega muchos elementos de configuración útiles (especialmente una conexión a su sistema de autenticación)

    
respondido por el WoJ 12.12.2011 - 22:53
fuente
1

Ya que estoy en el negocio de SIEM durante 5 años, haré algunas afirmaciones que me retienen hasta ahora. En la mayoría de los casos, SIEM es una decisión política en la empresa porque la empresa tiene un presupuesto y quiere aumentar su conciencia sobre la seguridad. Por lo general, se trata de comprar productos caros y luego, al final, descuidarlo. Entonces, lo que buscaría en SIEM son opciones para ampliarlo a sus propias necesidades, ya que cada compañía tiene su propio conjunto de reglas y pautas de seguridad que debe / quiere seguir. Con eso en mente, para obtener la mayor parte de SIEM necesita:

  • API abierta

  • opción para escribir sus indexadores

  • opción para escribir informes personalizados

Si tiene administradores de sistemas que no quieran invertir demasiado tiempo, también necesitará:

  • actualizaciones regulares para reglas de seguridad e indexadores

De todos modos, no sé si lo que estoy haciendo es justo porque estoy sugiriendo OTUS SIEM como nuestro propio producto en el que pasamos 4 años hasta ahora, pero hasta el momento obtuvimos mucha experiencia de usuario y sabemos con qué expectativas comienzan y con qué se conforman al final.

    
respondido por el damir 28.07.2013 - 16:49
fuente
0

Como otras respuestas han cubierto las funciones que necesita buscar al finalizar una solución SIEM para su organización, solo me gustaría agregar algunos puntos importantes sobre la implementación.

Usted ha mencionado que su jefe desea cierta información sobre los empleados y tiene razón cuando piensa que un SIEM puede hacer la tarea requerida. Sin embargo, antes de seguir adelante con la implementación de SIEM, debe considerar muchos otros factores. La implementación de SIEM no se puede diseñar para proporcionarle a su jefe el tipo de informes que desea. El trabajo principal de un SIEM es detectar e informar incidentes de seguridad y para hacerlo de una manera eficiente, primero debe identificar cuáles son sus activos clave y cuánto necesita protegerlos.

He visto casos en que los sistemas SIEM se utilizan para habilitar el cumplimiento de políticas en organizaciones que a veces anulan el propósito principal de tener un SIEM - Detección de incidentes de seguridad. Sobrecargar el SIEM con configuraciones que le permitan mantener el cumplimiento de las políticas mientras pasa por alto los incidentes de seguridad no es algo que desee terminar haciendo

    
respondido por el Shurmajee 04.08.2015 - 12:33
fuente

Lea otras preguntas en las etiquetas

XKCD # 936: ¿bajo qué supuestos son plausibles 1000 suposiciones / segundo sobre una red? Clave de sesión vs token de acceso Outh