Sistema SIEM, quali sono i vantaggi?

15

Ogni persona in azienda ha un nome utente / password univoci e nessuno dovrebbe accedere con il suo nome utente / password ma lui.

Voglio un programma che controlli i registri che includono un elenco di tutte le persone che sono venute a lavorare oggi e ispeziona l'elenco degli utenti che hanno effettuato l'accesso (dall'AD o dovunque lo sia), per scoprire se c'è qualcuno nei log registrati che non dovrebbero essere lì (poiché non è nel primo log). Se il programma rileva questo tipo di incoerenza, deve riferire immediatamente agli uomini responsabili del sistema.

Il manifest sopra è ciò che vuole il mio capo, e pensa che un sistema SIEM potrebbe darci quella capacità. Questo è solo un esempio di cross-referencing del file di log che vuole che noi abbiamo la possibilità di fare.

In questo momento abbiamo molti sistemi (di molte aziende) e ognuno sta esaminando aspetti diversi dell'azienda (ad esempio, un sistema che ci fornisce report dai file server su cosa e chi ha modificato i file, quanti file e qualsiasi anomalia trovata, un sistema che controlla l'inserimento USB sui PC e così via). Mi piacerebbe trovare un sistema in cui posso alimentare tutti i report in modo da poter generare un rapporto di riferimento incrociato.

Per quanto ho capito dalle pagine di Wikipedia su SIEM ( SIM , SEM ), questo sistema dovrebbe darci quella capacità .

La mia domanda è, dal momento che ho bisogno di selezionare uno dei 86 diversi SIEM sistemi che sono là fuori e finalmente lo implementano nell'organizzazione, vorrei il vostro consiglio su quale sia il sistema che si adatta alle mie esigenze di cui sopra. Dovrebbe anche essere facile lavorare il più possibile, dal momento che alla fine della giornata qualcuno dovrà lavorare con quel sistema e se non ha un'interfaccia significativa e report significativi per esempio non otterrei i risultati Voglio.

Oltre a quanto sopra, mi piacerebbe sapere quali componenti dovrei essere preparato per (agente client computer, agenti server e così via).

    
posta Hanan N. 12.12.2011 - 13:26
fonte

5 risposte

6

Solamente dalle informazioni nella tua domanda, restringere la lista di 86 non sarà facile - ho avuto un rapido guizzo perché conosco alcuni dei migliori nomi. Alcuni punti:

  • Le soluzioni SIEM dovrebbero tutte essere in grado di eseguire attività di tipo di correlazione log
  • La maggior parte include la registrazione dell'inserimento del dispositivo e i controlli del tipo Tripwire (o possono incorporare Tripwire o altri log SYSLOG)
  • Molti di questi hanno un'interfaccia utente ragionevole
  • La maggior parte ha un'interfaccia a riga di comando scrivibile

Quello che dovresti fare è elencare le cose che vuoi / hanno bisogno di avere e selezionare su quegli oggetti. Se riesci a ridurlo a meno di dieci hai maggiori possibilità di essere in grado di eseguire test di confronto.

    
risposta data 12.12.2011 - 16:18
fonte
5

Personalmente uso Splunk proprio per questo. È gratuito fino a 500 MB di log analizzati giornalmente e ha una robusta funzionalità di ricerca / correlazione / dashboard. Inoltre, può eseguire gli script Python in modo nativo in modo da poter generare i tuoi dati da fonti personalizzate.

Ad esempio, confrontare una lista di chi dovrebbe funzionare con la lista degli utenti registrati sarebbe una ricerca banale. Con la versione a pagamento, potresti persino avere l'accesso di un manager in modo che potessero vedere i rapporti da soli.

Splunk è semplicemente molto potente e utile per me. Ha ridotto 45 minuti di controllo manuale di vari registri, rapporti, e-mail, ecc. Fino a una e-mail generata automaticamente in formato PDF.

Dai un'occhiata.

    
risposta data 12.12.2011 - 20:57
fonte
3

+1 per suggerimento di schroeder .

Ha una curva di apprendimento abbastanza esotica, con ricerche di base disponibili in pochi minuti letterali, quindi mi ci è voluto un giorno per capire come costruire una ricerca complessa. Altri due giorni per avere una serie di grafici (limiti, interruzioni, misure). Ho poi capito che ha più senso creare ricerche salvate e lavorare da thre (puoi modificarle più facilmente).

Suggerirei anche di guardare i file di configurazione (transforms.conf in particolare).

La quota di 500 MB può essere elaborata preparando i dati da distribuire allo splunk. La versione aziendale (a pagamento), tuttavia, aggiunge molti elementi di configurazione utili (in particolare una connessione al sistema di autenticazione)

    
risposta data 12.12.2011 - 22:53
fonte
1

Dato che lavoro per SIEM per 5 anni, farò poche dichiarazioni per me finora. Nella maggior parte dei casi SIEM è una decisione politica in azienda perché la società ha un budget e vuole aumentare la sua consapevolezza della sicurezza. Di solito si tratta di acquistare prodotti costosi e poi alla fine trascurarli. Quindi quello che cercherò in SIEM è la possibilità di estenderlo per soddisfare le proprie esigenze poiché ogni azienda ha il proprio insieme di regole e linee guida di sicurezza che deve / vuole seguire. Con questo in mente, per ottenere la maggior parte di SIEM è necessario:

  • apri l'API

  • opzione per scrivere gli indicizzatori

  • opzione per scrivere report personalizzati

Se hai amministratori di sistema che non vogliono investire troppo tempo in esso, avrai anche bisogno di:

  • aggiornamenti periodici per le regole di sicurezza e gli indicizzatori

Comunque, non so se quello che sto facendo è giusto perché sto suggerendo OTUS SIEM come nostro prodotto su cui abbiamo trascorso 4 anni fino ad ora, ma finora abbiamo avuto un sacco di esperienza utente e sappiamo con quali aspettative iniziano e con cosa si sistemano alla fine.

    
risposta data 28.07.2013 - 16:49
fonte
0

Poiché altre risposte hanno coperto le funzionalità che devi cercare mentre finalizzi una soluzione SIEM per la tua organizzazione, vorrei solo aggiungere alcuni punti importanti sull'implementazione.

Hai menzionato che il tuo capo desidera una certa informazione sui dipendenti e ha ragione quando pensa che un SIEM possa svolgere il compito richiesto. Tuttavia, prima di procedere con un'implementazione SIEM, è necessario prendere in considerazione molti altri fattori. L'implementazione SIEM non può essere progettata per dare al tuo capo il tipo di rapporti che desidera. Il compito principale di un SIEM è quello di rilevare e segnalare gli incidenti di sicurezza e, al fine di farlo in modo efficiente, è necessario innanzitutto identificare quali sono le risorse chiave e quanto è necessario proteggerle.

Ho visto casi in cui i sistemi SIEM vengono utilizzati per abilitare la conformità alle policy in organizzazioni che a volte vanificano lo scopo principale di avere un SIEM - Security Incident Detection. Sovraccaricare il SIEM con configurazioni che ti consentono di mantenere la conformità alle policy senza trascurare gli incidenti di sicurezza non è qualcosa che vorresti fare.

    
risposta data 04.08.2015 - 12:33
fonte

Leggi altre domande sui tag