La registrazione centralizzata è in corso, la registrazione / avviso dettagliato dell'app (ad esempio modsec), l'avviso di sicurezza basato sulla rete (ad esempio lo snort) e qualsiasi altra cosa che alimenta il tuo osservatorio.
Hai qualche tecnica interessante che vorresti condividere per il modo in cui metti in relazione gli eventi di sicurezza?
E gli strumenti? (in-house va bene, descrivi solo quello che fa)
Gli strumenti aziendali che mettono in correlazione gli eventi relativi alla sicurezza e ai registri sono generalmente chiamati sistemi di informazioni sulla sicurezza e gestione degli eventi (SIEM). Molti sono progettati per accettare dati da formati di registro comuni, avvisi IDS, antivirus, modifiche alle regole del firewall, ecc.
LogRhythm
link
Utilizzato da molte aziende in tutto il mondo.
IBM QRadar
link
Cisco MARS
link
Intel McAfee NitroSecurity
link
ArcSight (acquistato da HP)
link
Molto costoso. È una bestia da installare, una bestia da usare, ma il motore di correlazione è davvero impressionante. Alcuni anni fa, quando lo usavo, era in grado di correlare gli attacchi a più stadi (cioè trojan su host a, permette all'host b di essere raggiungibile verso ip esterni, e anche sapere che l'host b regola del firewall consente l'attacco snort visto su IDS c si verificano.
Guardando l'arcsight express (e chiedendo al mio fornitore il prezzo), potrebbe essere una buona idea per i negozi più piccoli (meno di 500 host), ma deve essere supportato da persone in grado di interpretare e analizzare gli avvisi.
Altri strumenti che conosco:
OSSIM, il SIEM Open Source
link
Uno dei miei stagisti ha giocato con questo, con recensioni generalmente favorevoli. Per un progetto o un piccolo negozio, questa è probabilmente la soluzione migliore.
Intellitactics (ora di proprietà di trustwave)
link
Erano un altro grande giocatore quando SEIM iniziò, erano unici nel senso che stavano usando un database di testo (al contrario di Oracle come ArcSight e il resto). Ho sentito che avrebbero smesso di usare un db di testo e di passare a qualcos'altro, ma non hanno mai sentito nulla da allora in un lungo periodo.
RSA enVision
link
Questo è stato considerato come un mucchio di schifezze, parlando con il nuovo product manager del team di defcon, stavano riorganizzando il prodotto, utilizzando strumenti e tecniche di business intelligence (database di colonne, ecc.). Quello che mi è stato detto è che EMC (la società madre di RSA) ha acquistato Greenplum (un sistema di BI basato su ZFS) per questo progetto. Li guarderei da vicino, e magari mi trovo sotto una NDA e ho la vera storia.
Sto usando informazioni più vecchie qui, mi piacerebbe sentire cosa è corretto e cosa no.
Il link sopra elenca alcuni strumenti che si attesteranno davvero al di sopra degli altri, come ad esempio
Sono parziale a Suricata over snort e attualmente non mi piacciono i sistemi di gestione delle vulnerabilità esistenti (ad es. OpenVAS, Arachni) o sistemi di monitoraggio delle applicazioni (ad esempio ModSecurity, AppSensor) - tuttavia sono molto propensi a implementarli con OSSEC via OSSIM date le moderne limitazioni dei negozi IT / Ops e AppDev.
Inoltre, non sembra che gli strumenti della vecchia scuola come Beltane o Cerebus abbiano tenuto fede alle esigenze odierne. Immagino che la nuova freschezza stia adottando l'integrazione per OSSIM e OSSEC in un ambiente Vagrant.
Qui passiamo da Intellitactics a Splunk , che sembra essere il contendente emergente in l'area. Una delle cose belle di Splunk è la sua estensibilità; è piuttosto facile scrivere moduli di data mining o reporting per questo. Un altro è la "procedura guidata regex" che consente di creare un'espressione regolare che corrisponde al testo di esempio selezionato.
Personalmente ho grandi progetti che sembrano essere perennemente nella fase "quasi iniziata" di utilizzare tecniche di machine learning per la classificazione multiclasse e il clustering per organizzare le cose interessanti ma non critiche che comprendono il 99% dei dati registrati.