2023年7月17日发(作者：)

6种开源的SIEM⼯具SIEM系统有助于保护IT环境免受⽹络攻击，并遵守⽇益严格的合规性标准，它正在成为越来越多的组织实现的安全范例的基⽯。在前⼀篇⽂章中，我们解释了SIEM系统实际上是什么——组织为什么需要它，它由哪些组件组成，以及它如何帮助减轻攻击。这篇⽂章得出的结论之⼀是，SIEM本⾝并不是⼀个⼯具，⽽是由多个监视和分析组件组成的。有些专有平台确实提供了⼀种⼀体化的SIEM解决⽅案，例如LogRhythm、QRadar和ArcSight。这些解决⽅案可能会变得⾮常昂贵，尤其是在长期和⼤型组织中，因此越来越多的公司都在寻找开源的SIEM平台。但是是否有⼀个包含所有基本SIEM元素的开源平台呢?答案很简单——不。没有⼀个完整的开源SIEM系统。现有的解决⽅案要么缺少核⼼的SIEM功能，⽐如事件相关性和报告，要么需要与其他⼯具相结合。不过，像往常⼀样，也有⼀些不错的竞争者，在本⽂中，我们将研究其中的6个平台。我们将在本⽂之后对专有⼯具进⾏类似的分析。1. OSSIM作为AlienVault提供的统⼀安全管理(USM)的开源版本，OSSIM可能是⽐较流⾏的开源SIEM平台之⼀。OSSIM包括关键的SIEM组件，即事件收集、处理和规范化，最重要的是-事件相关性。为了构建⼀个完整的SIEM, OSSIM将本机⽇志存储和相关功能与许多开源项⽬结合起来。OSSIM中包含的开源项⽬列表包括:FProbe、Munin、Nagios、NFSen/NFDump、OpenVAS、OSSEC、PRADS、Snort、Suricata和TCPTrack。OpenVAS的包含尤其有趣，因为OpenVAS通过将IDS⽇志与漏洞扫描结果关联来⽤于漏洞评估。正如⼈们所预期的那样，开源OSSIM并不像它的商业“⽼⼤哥”那样功能丰富。这两种解决⽅案都适⽤于⼩型部署，但是OSSIM⽤户在规模上遇到了严重的性能问题，最终导致他们转向商业产品。例如，开源版本的OSSIM中的⽇志管理功能实际上是不存在的。2. ELK堆栈ELK堆栈，或者Elastic Stack ，正如它最近被重新命名的那样，可以说是当今作为SIEM系统构建块使⽤的最流⾏的开源⼯具。⼀个构建块——是的。⼀个完整的SIEM系统——不，因为关于麋⿅堆栈是否符合“⼀个完整的”SIEM系统有很多争论的空间。ELK堆栈包括开源产品Elasticsearch、Logstash、Kibana和Beats系列的⽇志传输者。Logstash是⼀个⽇志聚合器，可以从⼏乎任何数据源收集和处理数据。它可以过滤、处理、关联和增强所收集的任何⽇志数据。Elasticsearch是⼀种存储引擎，是该领域存储和索引时间序列数据的最佳解决⽅案之⼀。Kibana是堆栈中的可视化层，在这⽅⾯⾮常强⼤。Beats包括各种轻量级的⽇志传输者，他们负责收集数据并通过Logstash将其发送到堆栈中。Logstash使⽤⼤量的输⼊插件来收集⽇志。但是，它也可以接受来⾃更专⽤的解决⽅案(如OSSEC或Snort)的输⼊(见下⽂)。结合起来，ELK堆栈的⽇志处理、存储和可视化功能在功能上是不匹配的。然⽽，就SIEM的⽬的⽽⾔，ELK堆栈(⾄少是原始开源格式的堆栈)缺少⼀些关键组件。⾸先，它没有内置的报告或警报功能。这是⼀个已知的痛点，不仅对于试图将堆栈⽤于安全性的⽤户，对于更常见的⽤例(例如IT操作)也是如此。警报可以通过使⽤X-Pack、Elastic商业产品或添加开源安全插件来添加。也没有可以使⽤的内置安全规则。这使得堆栈的处理成本增加了⼀些，包括资源和操作成本。SSEC是⼀种流⾏的开源主机⼊侵检测系统(HIDS)，可⽤于各种操作系统，包括Linux、Windows、MacOS、Solaris以及OpenBSD和FreeBSD。OSSEC本⾝分为两个主要组件:负责从不同数据源收集⽇志数据的管理器(或服务器)和代理程序(代理程序是负责收集和处理⽇志并使其更易于分析的应⽤程序)。OSSEC项⽬本⾝不包括可视化层。有⼀个UI是废除的，相反，建议使⽤外部可视化⼯具，如Kibana和Grafana。OSSEC直接监视主机上的许多参数。这包括⽇志⽂件、⽂件完整性、rootkit检测和Windows注册表监控。OSSEC可以从其他⽹络服务执⾏⽇志分析，包括⼤多数流⾏的开源FTP、邮件、DNS、数据库、web、防⽕墙和基于⽹络的IDS解决⽅案。OSSEC还可以分析来⾃许多商业⽹络服务和安全解决⽅案的⽇志。OSSEC有许多报警选项，可以⽤作⾃动⼊侵检测或主动响应解决⽅案的⼀部分。OSSEC有⼀个基本的⽇志存储引擎。默认情况下，不保留来⾃主机代理的⽇志消息。⼀旦分析完毕，OSSEC将删除这些⽇志，除⾮OSSEC管理器的⽂件中包含选项。如果启⽤此选项，OSSEC将来⾃代理的传⼊⽇志存储在每天滚动的⽂本⽂件中。OSSEC是否可以算作“⼀种”SIEM系统还存在争议。OSSEC在实现SIEM系统时确实做了⼤量的⼯作:它收集数据并对其进⾏分析，但是缺少⼀些必需的核⼼⽇志管理和分析组件。值得指出的是，OSSEC项⽬已经被其他HIDS解决⽅案(例如Wazuh)所开发，这些解决⽅案扩展了OSSEC的功能，使其成为⼀个更完整的SIEM选项。4. Apache MetronApache Metron从Cisco的OpenSOC平台发展⽽来，并于2016年⾸次发布，它是该⾏业中⼀个相对较新的参与者，也是将多个开放源码项⽬组合到⼀个平台的安全框架的另⼀个例⼦。从架构的⾓度来看，Metron依赖于其他Apache项⽬来收集、流化和处理安全数据。Apache Nifi和Metron探测从安全数据源收集数据，然后将这些数据推送到单独的Apache Kafka主题中。事件随后被解析并规范化为标准JSON，然后被充实，在某些情况下被标记。如果确定了某些事件类型，则可以触发警报。为了可视化，使⽤Kibana(尽管是⼀个过时的版本)对于存储，事件被索引并持久化到Apache Hadoop中，并且可以根据组织的⾸选项进⾏Elasticsearch或Solr。在这些数据之上，Metron提供了⼀个接⼝，⽤于使⽤警报摘要和丰富的数据集中分析数据。Metron最强⼤的特性之⼀是可插⼊和可扩展的体系结构。例如，Bro、pycapa和fastcapa传感器可以⽤来将特定的数据发送到Metron。使⽤简单的DSL Stellar，⽤户可以编写⾃⼰的函数来转换收集到的数据。⼴泛的REST API允许⽤户与Metron交互，因此⽤户可以通过编程⽅式管理警报。Metron相对年轻，在⼀些⽅⾯还⽐较⽋缺。Metron只能安装在有限数量的操作系统和环境中，不过它⽀持通过Docker(仅适⽤于Mac和Windows)进⾏可分析和安装的⾃动化场景。UI有点不成熟，例如不⽀持⾝份验证。5. SIEMonsterSIEMonster是另⼀个年轻的SIEM播放器，但也⾮常受欢迎，在短短两年内下载量超过10万次。SIEMonster基于开源技术，可以免费获得，并且是⼀种付费解决⽅案(Premium和MSSP多租户)。虽然SIEMonster使⽤⾃⼰的“怪物”术语来命名系统中不同的SIEM功能(例如Kraken)，但是底层组件是众所周知的开源技术。ELK堆栈⽤于收集(Filebeat和Logstash)、处理、存储和可视化所收集的安全数据。RabbitMQ⽤于队列。SearchGuard⽤于对Elasticsearch和ElastAlert进⾏加密和⾝份验证，⽤于报警。给HIDS的分⽀OSSEC Wazuh。这样的例⼦不胜枚举。从功能的⾓度来看，SIEMonster包含了分析师可能希望得到的所有好处，每个好处都可以通过主菜单访问——⽤于搜索和可视化数据的KibanaUI、⽤于威胁情报的MineMeld UI、⽤于创建和管理基于事件的通知的警报。其他集成的开源⼯具有DRADIS、OpenAudit和FIR。SIEMonster可以使⽤Docker容器部署在云上，这意味着更容易跨系统移植，也可以部署在vm和裸机上(Mac、Ubuntu、CentOS和Debian)。尽管缺少在线版本，但⽂档⾮常丰富。6. Prelude与OSSIM类似，Prelude是⼀个结合了其他各种开源⼯具的SIEM框架。与OSSIM⼀样，它也是同名商业⼯具的开源版本。Prelude旨在填补OSSEC和Snort等⼯具所遗漏的⾓⾊。Prelude接受来⾃多个源的⽇志和事件，并使⽤⼊侵检测消息交换格式(IDMEF)将它们存储在⼀个位置。它提供过滤、关联、警报、分析和可视化功能。同样，与OSSIM⼀样，与所有这些功能的商业产品相⽐，Prelude的开源版本受到了很⼤的限制，这可能就是它不太受欢迎的原因。引⽤官⽅⽂档:“Prelude OSS的⽬的是在⾮常⼩的环境中进⾏评估、研究和测试。请注意，Prelude OSS的表现远远低于Prelude SIEM版。没有“⼀枚戒指可以统治所有⼈”⼀个完整的SIEM解决⽅案包括从各种数据源收集信息、长时间保留这些信息、在不同事件之间建⽴关联、创建关联规则或警报、分析数据并使⽤可视化和仪表板对其进⾏监视。为了满⾜这些需求，本⽂中列出的许多开源SIEM系统都使⽤了ELK堆栈，这并⾮巧合。OSSEC Wazuh, SIEMonster, Metron -都采⽤ELK。但ELK本⾝缺乏⼀些关键的SIEM组件，如关联规则和事件管理。基于上⾯的分析，⼀个简单的结论是，“⼀体式开源SIEM解决⽅案”并没有明确的赢家。在实现基于上述解决⽅案的SIEM系统时，您很可能会发现⾃⼰在功能或与其他开源⼯具结合⽅⾯受到了限制。⽤于SIEM的开源⼯具是通⽤的和强⼤的。但是，它们需要⼤量的专业知识，⽽且最重要的是——正确地部署。正是由于这个原因，即使开源⼯具是这些商业产品的核⼼，商业产品仍然主导着SIEM的发展。为您处理80%的SIEM解决⽅案要⽐⾃⼰处理好。商业解决⽅案处理安装、基本配置，并为最常见的⽤例提供过滤器、相关配置和可视化设计。不要低估这些商业特性的价值:在当今的数据中⼼中，要监视的东西似乎是⽆限的，我们没有⼈有时间⼿动配置应⽤程序来监视它们。