it-swarm-korea.com

보안 이벤트를 관련시키기 위해 어떤 기술과 도구를 사용합니까?

중앙 로깅, 상세한 앱 로깅/알림 (예 : modsec), 네트워크 기반 보안 알림 (예 : snort) 및 기타 모든 것이 관찰 데크에 공급됩니다.

보안 이벤트와 관련하여 공유하고 싶은 멋진 기술이 있습니까?

도구는 어떻습니까? (사내도 괜찮습니다. 무엇을하는지 설명해주세요)

16
Tate Hansen

관련 보안 및 로그 이벤트를 연관시키는 엔터프라이즈 도구를 일반적으로 SIEM (Security Information and Event Management) 시스템이라고합니다. 대부분은 일반적인 로그 형식, IDS 경고, 바이러스 백신, 방화벽 규칙 변경 등의 데이터를 허용하도록 설계되었습니다.

내가 아는 다른 도구 :

  • OSSIM, 오픈 소스 SIEM
    http://sourceforge.net/projects/os-sim/
    내 인턴 중 한 명이 일반적으로 호평을 받아이 문제를 가지고 놀았습니다. 프로젝트 또는 소규모 상점의 경우 이것이 최선의 선택 일 것입니다.

  • Intellitactics (현재는 trustwave 소유)
    http://www.intellitactics.com/int/
    SEIM이 처음 시작되었을 때 또 다른 큰 플레이어였으며, 텍스트 데이터베이스를 사용한다는 점에서 독특했습니다 (ArcSight 및 나머지와 같은 Oracle과 반대). 나는 그들이 텍스트 db 사용을 중단하고 다른 것으로 이동할 것이라고 들었지만 그 이후로는 오랫동안 아무것도 듣지 못했습니다.

  • RSA enVision
    http://www.rsa.com/node.aspx?id=317
    이것은 쓰레기 더미로 간주되어 defcon 팀의 새로운 제품 관리자와 이야기하고 비즈니스 인텔리전스 도구와 기술 (열 저장소 데이터베이스 등)을 사용하여 제품을 다시 뱅킹했습니다. EMC (RSA의 모회사)가이 프로젝트를 위해 Greenplum (ZFS 기반 BI 시스템)을 인수했다고 들었습니다. 나는 그들을 면밀히 관찰하고 아마도 NDA 아래에 들어가 실제 이야기를 얻을 것입니다.

나는 여기에 오래된 정보를 사용하고 있으며 무엇이 올바른지 듣고 싶지 않습니다.

5
Reiger

위의 링크는 실제로 다른 것보다 튀어 나올 몇 가지 도구를 나열합니다.

  1. Novell Sentinel Log Manager 25는 처음 시작할 때 Global 200 기업이 자금을 지원하지 않는 경우 Splunk보다 나은 것으로 보입니다.
  2. Q1Labs는 SIEM 시험판을 고려중인 신생 기업과 기업도 도약하기를 원하는 미드 마켓 솔루션을 제공하여 AlienVault (OSSIM)와 경쟁을 시도하는 것으로 보입니다.
  3. log2timeline은 로그 파일 삭제 (목적 여부에 관계없이)로 인해 발생했을 수있는 시간 간격을 구체적으로 파악할 수 있다는 점에서 IDR 방법론이나 상용/무료 도구에서 일반적으로 찾을 수없는 좋은 개념을 구현합니다.

나는 스 노트보다 Suricata를 선호하며 현재 기존 취약성 관리 시스템 (예 : OpenVAS, Arachni) 또는 애플리케이션 모니터링 시스템 (예 : ModSecurity, AppSensor)을 좋아하지 않습니다. 그러나이를 통해 OSSEC와 함께이를 구현할 가능성이 매우 높습니다. OSSIM은 IT/Ops 및 AppDev 상점의 현대적인 한계를 고려했습니다.

또한 Beltane 또는 Cerebus와 같은 구식 도구가 오늘날의 요구 사항을 충족하지 못하는 것 같습니다. 새로운 신선함은 Vagrant 환경에서 OSSIM과 OSSEC에 대한 통합을 채택하는 것입니다.

3
atdre

여기서 우리는 Intellitactics에서 Splunk 로 전환하고 있습니다. Splunk의 장점 중 하나는 확장 성입니다. 데이터 마이닝 또는보고 모듈을 작성하는 것은 매우 쉽습니다. 다른 하나는 선택한 예제 텍스트에 해당하는 정규식을 빌드 할 수있는 내장 "정규식 마법사"입니다.

저는 개인적으로 "거의 시작된"단계에있는 것처럼 보이는 웅장한 계획을 가지고 있으며, 다중 클래스 분류 및 클러스터링에 기계 학습 기술을 사용하여 기록 된 데이터의 99 %를 구성하는 흥미롭지 만 중요하지 않은 항목을 구성합니다.

0
user502