Quale architettura per un SIEM basata su un cluster ELK? [chiuso]

-3

Prime idee per costruire un SIEM basato su ELK, all'interno di un'azienda multi-location:

  • Tutte le risorse inviano il loro log a Logstash localmente (per ogni posizione)
  • ElasticSearch memorizza i log localmente dopo l'analisi di Logstash
  • ElasticSearch filtra i log utili per il SIEM (log di sicurezza) e li invia a un logstash di output locale
  • Questo invia questi registri di sicurezza a uno stack ELK centralizzato (comune all'intera azienda), sotto una VPN
  • Le regole di correlazione vengono analizzate sull'ELK centrilato per generare gli allarmi di sicurezza

Altre alternative potrebbero essere:

  • Nessuna ElasticSearch centrata poiché ELK consente la ricerca in un cluster. Vantaggio: meno requisiti di larghezza di banda poiché i registri di sicurezza rimangono locali. Svantaggio: eventualmente latenza
  • Uso di code di messaggi per fornire maggiore robustezza, specialmente per le piccole località con il numero minimo di nodi ELK

Nel contesto di un SIEM e tenendo conto della sicurezza intrinseca, quale sarebbe l'architettura e gli elementi migliori nel nostro caso?

    
posta lalebarde 28.02.2018 - 14:30
fonte

1 risposta

1

Dal punto di vista della sicurezza, consiglierei di spedire e salvare tutti i log fuori dal sito. È possibile utilizzare Filebeat / winlogbeat (che supporta la compressione) per inviare a un Logstash remoto. Logstash è molto, molto veloce e non dovresti preoccuparti di martellarlo con i log. Una volta lì, esegui Elasticsearch per eseguire una query sui dati che desideri. Questa sarebbe la migliore impostazione per la latenza e da un aspetto di sicurezza dato che filebeat / winlogbeat supporta l'autenticazione reciproca con Logstash. È consigliabile che do abbia un cluster centralizzato Elasticsearch perché questo è lo scopo dell'utilizzo di uno stack flessibile come ELK. Una volta che i dati si trovano nel tuo cluster, puoi scrivere query e restituire risultati o utilizzare servizi / strumenti esterni. Farei attenzione perché Elasticsearch non implementa alcuna funzionalità di sicurezza come il controllo degli accessi.

    
risposta data 28.02.2018 - 16:28
fonte

Leggi altre domande sui tag