SIEM是企業安全運營中心的核心引擎,用于收集、分析和存儲安全事件信息并為安全運營的各個流程提供決策信息。SIEM極為復雜,因此絕大多數企業都選擇購買價格不菲的商業產品/服務。

但是,高企的價位和運營成本使SIEM成為大型企業才能享用的網絡安全“奢侈品”,對于很多安全預算有限的中小型企業,部署SIEM會擠占大量研發、營銷和人才預算。

云安全公司SOCFortress認為,網絡安全是一種權利,而不應該是特權。該公司推薦了一整套開源工具來幫助企業搭建功能不輸商業產品的開源SIEM(甚至SOC)方案,整理如下:

構成SIEM堆棧的關鍵要素

我們首先需要了解SIEM堆棧的關鍵構成。如果沒有合適的工具,安全團隊將很難檢測、評估、分類和響應安全事件。隨著網絡的增長和采集日志量的增加,這一點尤其重要。

以下是必須整合到SIEM堆棧中的關鍵功能模塊。

1. 日志采集

2. 日志分析

3. 后端存儲

4. 可視化

5. 智力充實

6. 案例管理

7. 自動化

8. 調查與應對

9. 監測

日志采集

在SOC分析師查看安全日志之前,首先需要確定采集哪些日志源。常見的日志包括:

  • 端點日志(Windows事件、Sysmon、Powershell日志等)
  • 網絡設備(防火墻(IDS/IPS)、交換機、接入點)
  • 代理(Apache、NGINX等)
  • 第三方(AWS Cloud Trail、O365、Tenable等)

當我們開始從多個來源采集日志時,確保日志被規范化為通用字段名稱,這一點至關重要。例如,source_ip、source_ipv4_ip都應重寫為src_ip字段。當我們開始開發儀表板和警報策略時,這將節省時間和精力。

通過日志規范化,我們現在可以搭建一個通用儀表板,顯示所有日志來源的網絡連接。

GrayLog

在日志采集方面,Graylog是我們的首選工具。Graylog負責從各種日志源收集日志:

  • Wazuh管理器
  • 網絡設備
  • 來自第三方的Syslog轉發器(例如Cylance、Crowdstrike等)
  • 以及其他大量功能

Graylog還能處理存儲在Wazuh-Indexer后端中的索引管理,以適應所選的索引生命周期。

日志分析

雖然采集大量日志是一個很好的起點,但我們還需要能夠分析收集到的日志中的元數據細節,以提高警報準確率并確定安全事件的優先級。

  • 分析從端點/服務收到的日志。
  • 通過日志分析確定采集的日志的嚴重性,支持自定義規則的功能。
  • 能夠丟棄警報噪音以限制不必要的數據溢出。

每個企業的網絡環境都不盡相同,因此需要靈活地創建自己的自定義規則。企業可以嘗試Wazuh的自定義規則——免費的高級Wazuh檢測規則。

Wazuh

Wazuh是一個很棒的工具,它不僅可以從端點收集日志,而且還內置了內置規則,可以分析日志內容以檢測攻擊。

Wazuh還提供:

  • 配置評估
  • 文件完整性監控
  • 漏洞檢測
  • 以及更多

后端存儲

采集和分析日志很棒,但這些日志將存儲在哪里?我們必須搭建一個后端存儲架構,具備如下功能:

  • 存儲、搜索和查看數據(收集的安全事件)
  • 高可用性
  • 強大的性能
  • 擴展能力

Wazuh索引器

Wazuh-Indexer是Wazuh的OpenSearch的分叉版本,讓我們能夠做到這一點。它功能豐富的API還允許我們將其他工具插入Wazuh-Indexer堆棧,例如Grafana、Elastalert等。

可視化

存儲日志只是一個開始,SOC分析師還需要能夠輕松查看、調整、分類和搜索安全威脅或堆棧。大海撈針式的查詢體驗很快就會導致分析師們精神崩潰。

因此,我們還需要整合可視化工具以便:

  • 通過小部件/儀表板/等查看日志。
  • 快速搜索和查看數據。
  • 支持從多個日志存儲(Wazuh-Indexer、csv文件、MySQL等)讀取的能力。

Grafana

Grafana是值得推薦的可視化工具,速度快(與Kibana相比)、完全可定制、豐富的預構建小部件、強大的社區支持,并提供多租戶支持!Grafana允許我們搭建一個“單屏”界面來查看所有的安全事件。

情報富化

除了分析日志之外,我們還需要一種方法來富化日志,以幫助分析師快速發現潛在的惡意活動。例如,與網站交互的某個IP地址是否惡意?我們需要一個具備如下功能的日志富化工具:

  • 使用來自多個提供商的威脅情報富化采集到的日志。
  • 解析并存儲選定的響應,以便僅存儲關鍵數據。
  • 自動化,因此SOC分析師不必手動嘗試富化收到的日志。

OpenCTI

OpenCTI平臺的首要目的是提供一個強大的知識管理數據庫,該數據庫具有一個專門為網絡威脅情報和安全運營量身定制的強化模式。

MISP

MISP提供元數據標記、提要、可視化,甚至可與其他工具集成以進行進一步分析,這要歸功于其開放的協議和數據格式。

這兩種工具都提供了豐富的API,使我們能夠及時自動執行威脅情報查找!

案例管理

隨著SOC團隊的壯大,我們需要提供一個平臺,讓他們能夠協作、豐富和響應警報。為您的SOC分析師提供劇本、任務和程序將幫助指導他們完成檢測到的警報,并讓他們專注于關鍵警報。

  • 用于查看和響應高嚴重性事件的平臺。
  • 允許與多個SOC分析師協作。
  • 允許響應操作,以便分析師可以在其端點上觸發事件。

TheHIVE/Cortex

TheHIVE使我們能夠管理、組織、關聯事件并自動化取證分析,同時利用強大的協作能力。

而Cortex提供對來自第三方或遺留服務和自動主動響應的可觀察數據(文件哈希、IP、域等)的調查。

自動化

隨著采集的日志不斷增加,我們需要一個可以自動執行許多任務的工具,例如:

  • 案例創建
  • 網絡釣魚分析
  • 健康檢查失敗
  • 報告生成
  • 其他種種

這篇文章中提到的所有開源工具都自帶API,我們可以將SOAR平臺插入其中以自動化幾乎所有任務!

Shuffle

Shuffle是SOAR的開源實現,通過即插即用應用程序帶來在整個企業中傳輸數據所需的所有功能,使每個人都可以使用自動化。它能消除團隊中對編碼器的需求(但仍然建議至少有一個),Shuffle能夠在幾分鐘內(而不是幾小時或幾天)部署新的、復雜(或簡單)的工作流程。

事件調查

接收警報只是成功的一半,我們必須讓我們的SOC分析師能夠通過可擴展的方式與受監控的端點快速交互來徹底調查警報。一些技術包括:

  • 列出正在運行的進程
  • 枚舉登錄用戶
  • 檢測監聽端口
  • 查看下載的文件
  • 隔離設備
  • 等等

如果沒有上述功能,SOC分析師就很難快速評估警報的實際嚴重性。

Velociraptor

Velociraptor是一種先進的數字取證和事件響應工具,可增強對端點的可見性。只需按下(幾個)按鈕,我們就可以在所有端點上精準高效地同時進行有針對性的數字取證收集,其可靠的API支持在需要時自動化和觸發證據收集。

健康監測

SIEM堆棧構建完成后,我們需要監控整個SIEM堆棧的運行狀況,以確保順利運行并將丟失警報的風險降至最低。我們通常將監控分為兩個階段:

  • 端點資源(CPU、RAM、磁盤、進程等)
  • WebUI正常運行時間

例如,也許Grafana服務運行良好,但如果防火墻更改禁止了用戶訪問Grafana WebUI,會導致分析師無法訪問WebUI查看警報,并最終使Grafana無法使用。

InfluxDB/Telegraf

InfluxDB與Telegraf代理相結合,使我們能夠收集所有的端點指標,并在達到閾值或關鍵進程(例如wazuh-indexer)未運行時觸發內置警報。這使工程團隊能夠在潛在問題產生嚴重影響之前主動應對。

Uptime Kuma

Uptime Kuma是一種監控工具,可用于實時監控網站和應用程序。特點包括:

  • 監控HTTP(s)網站、TCP端口和Docker容器的正常運行時間,并檢索DNS記錄等信息。
  • 通過電子郵件(SMTP)、Telegram、Discord、Microsoft Teams、Slack、Promo SMS、Gotify和90多種通知服務發送通知。
  • 支持多種語言。
  • 提供多個狀態頁面。
  • 提供代理支持。
  • 顯示SSL證書信息。
  • 將狀態頁面映射到域。

結論

安全運營是一件高度復雜且費錢的事情,但企業也沒必要為此破產。有大量開源工具可供我們以最低成本搭建我們自己的SIEM技術堆棧。開源的靈活性還允許我們根據自身的需求進行靈活定制。本文我們介紹的本地SOC開源工具,功能上可以媲美商業工具,如果您的團隊有足夠的人才和試錯空間,那么嘗試在本地自行搭建開源SOC方案未嘗不是一個有趣的選擇。

本文介紹的開源SOC部署策略涉及的工具清單如下:

1.Wazuh Indexer(OpenSearch)

2.Wazuh Dashboards(OpenSearch Dashboards)

3.Graylog

4.Wazuh Manager/Agents

5.Grafana

6.MISP

7.OpenCTI

8.TheHIVE/Cortex

9.Velociraptor/Agents

10.Shuffle

11.InfluxDB/Telegraf

12.Uptime Kuma

日志 堆棧
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接