Prime idee per costruire un SIEM basato su ELK, all'interno di un'azienda multi-location:
- Tutte le risorse inviano il loro log a Logstash localmente (per ogni posizione)
- ElasticSearch memorizza i log localmente dopo l'analisi di Logstash
- ElasticSearch filtra i log utili per il SIEM (log di sicurezza) e li invia a un logstash di output locale
- Questo invia questi registri di sicurezza a uno stack ELK centralizzato (comune all'intera azienda), sotto una VPN
- Le regole di correlazione vengono analizzate sull'ELK centrilato per generare gli allarmi di sicurezza
Altre alternative potrebbero essere:
- Nessuna ElasticSearch centrata poiché ELK consente la ricerca in un cluster. Vantaggio: meno requisiti di larghezza di banda poiché i registri di sicurezza rimangono locali. Svantaggio: eventualmente latenza
- Uso di code di messaggi per fornire maggiore robustezza, specialmente per le piccole località con il numero minimo di nodi ELK
Nel contesto di un SIEM e tenendo conto della sicurezza intrinseca, quale sarebbe l'architettura e gli elementi migliori nel nostro caso?